版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
寧波市政府計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案(網(wǎng)絡(luò)防火墻)方正數(shù)碼有限公司
TOC\o"1-3"\h\z1. 背景簡(jiǎn)介 51.1. 項(xiàng)目總述 51.2. 網(wǎng)絡(luò)環(huán)境總述 51.3. 業(yè)務(wù)現(xiàn)狀 61.4. 網(wǎng)絡(luò)信息安全概況 71.4.1. 網(wǎng)絡(luò)安全現(xiàn)狀 81.4.2. 典型黑客襲擊 81.4.3. 網(wǎng)絡(luò)與信息安全平臺(tái)任務(wù) 102. 安全架構(gòu)分析與設(shè)計(jì) 112.1. 網(wǎng)絡(luò)整體構(gòu)造 112.1.1. 寧波在全國(guó)政府專網(wǎng)中位置 122.1.2. 光纖網(wǎng)絡(luò)平臺(tái) 122.2. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)分析 142.2.1. 重要應(yīng)用服務(wù)安全風(fēng)險(xiǎn) 142.2.2. 網(wǎng)絡(luò)中重要系統(tǒng)安全風(fēng)險(xiǎn) 152.2.3. 數(shù)據(jù)庫(kù)系統(tǒng)安全分析 162.2.4. Unix系統(tǒng)安全分析 162.2.5. WindowsNT系統(tǒng)安全分析 172.2.6. 管理系統(tǒng)安全風(fēng)險(xiǎn) 172.3. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)解決方案設(shè)計(jì)原則和目的 182.3.1. 網(wǎng)絡(luò)安全解決方案構(gòu)成 192.3.2. 超高安全規(guī)定下網(wǎng)絡(luò)保護(hù) 212.4. 防火墻選型 222.5. 防火墻設(shè)立及工作模式 232.6. 防火墻功能設(shè)立及安全方略 232.6.1. 完善訪問(wèn)控制 232.6.2. 內(nèi)置入侵檢測(cè)(IDS) 242.6.3. 代理服務(wù) 242.6.4. 日記系統(tǒng)及系統(tǒng)報(bào)警 242.6.5. 帶寬分派,流量管理 252.6.6. H.323支持 252.6.7. 系統(tǒng)升級(jí) 252.6.8. 雙機(jī)備份 262.6.9. 防火墻方案特點(diǎn) 262.7. 防火墻整體布局 272.8. 寧波市政府系記錄算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò) 282.9. 各區(qū)及委、辦、局安全網(wǎng)絡(luò) 282.10. 集中管理和分級(jí)管理 293. 產(chǎn)品選型 303.1. 防火墻與入侵檢測(cè)選型 303.1.1. 方正數(shù)碼公司簡(jiǎn)介 303.2. 方正方御防火墻(100M) 313.2.1. 產(chǎn)品概述 313.2.2. 系統(tǒng)特點(diǎn) 313.2.3. 方御防火墻(百兆)性能 353.2.4. 方正方御防火墻功能闡明 363.3. 方正方御防火墻(1000M) 473.3.1. 產(chǎn)品概述 473.3.2. 系統(tǒng)特點(diǎn) 483.3.3. 方正方御千兆防火墻功能闡明 493.3.4. 方御防火墻(千兆)性能 594. 工程實(shí)行方案 614.1. 合同訂立階段工作實(shí)行 614.2. 發(fā)貨階段實(shí)行 624.3. 到貨后工作實(shí)行 634.4. 測(cè)試及驗(yàn)收 644.4.1. 測(cè)試及驗(yàn)收描述 644.5. 系統(tǒng)初驗(yàn) 654.5.1. 功能測(cè)試 654.5.2. 性能測(cè)試 654.5.3. 實(shí)行人員 655. 培訓(xùn)方案 665.1. 培訓(xùn)目的 665.2. 培訓(xùn)課程 665.3. 培訓(xùn)方式 665.4. 培訓(xùn)時(shí)長(zhǎng) 665.5. 培訓(xùn)地點(diǎn) 665.6. 培訓(xùn)人數(shù) 675.7. 培訓(xùn)講師 675.8. 入學(xué)規(guī)定 686. 售后服務(wù)和技術(shù)支持 696.1. 售后服務(wù)內(nèi)容 696.2. 保修 706.3. 保修方式 716.4. 保修范疇 716.5. 保修期確認(rèn) 726.6. 全國(guó)服務(wù)網(wǎng)絡(luò) 726.7. 場(chǎng)地及環(huán)境準(zhǔn)備 726.7.1. 常規(guī)規(guī)定 726.7.2. 機(jī)房電源、地線及同步規(guī)定 736.7.3. 設(shè)備場(chǎng)地、通信 736.7.4. 機(jī)房環(huán)境 736.8. 驗(yàn)收清單 756.8.1. 設(shè)備開(kāi)箱驗(yàn)收清單 756.8.2. 顧客信息清單 756.8.3. 顧客驗(yàn)收清單 767. 方案整體優(yōu)勢(shì) 788. 方正方御防火墻榮譽(yù)證書(shū) 79
背景簡(jiǎn)介項(xiàng)目總述政府專網(wǎng)是寧波市政府信息化建設(shè)基本工程,是以寧波市政府東、北大院計(jì)算機(jī)局域網(wǎng)為核心,以寬帶光纖網(wǎng)絡(luò)為通信平臺(tái),環(huán)繞業(yè)務(wù)管理、數(shù)據(jù)互換、語(yǔ)音通信、重大事件解決、視頻會(huì)議等應(yīng)用,覆蓋寧波市各縣(市)、區(qū)政府,市政府各部門(mén),市委辦、人大辦、政協(xié)辦及市委各工作部門(mén)等,并與全國(guó)、全省政府專網(wǎng)聯(lián)接,共約122個(gè)節(jié)點(diǎn)城域網(wǎng)。政府專網(wǎng)是獨(dú)立于公共網(wǎng)絡(luò)之外政府系統(tǒng)專用網(wǎng)絡(luò),物理上與外部公共網(wǎng)絡(luò)隔離。專網(wǎng)內(nèi)部進(jìn)行邏輯分割,采用防火墻隔離、審計(jì)檢測(cè)等辦法,建立有效網(wǎng)絡(luò)安全防范體系,以滿足國(guó)家黨政機(jī)關(guān)網(wǎng)絡(luò)可傳送普密級(jí)信息通信安全保密規(guī)定。政府專網(wǎng)涉及范疇廣,建設(shè)規(guī)定高,需分期分批進(jìn)行建設(shè)。整個(gè)建設(shè)周期分為二期,第一期41個(gè)節(jié)點(diǎn)于2月底前完畢,第二期約81個(gè)節(jié)點(diǎn)于完畢。當(dāng)前已經(jīng)完畢網(wǎng)絡(luò)平臺(tái)、系統(tǒng)集成、系統(tǒng)商務(wù)標(biāo)招投標(biāo)工作,正在抓緊進(jìn)行網(wǎng)絡(luò)平臺(tái)建設(shè)及有關(guān)設(shè)備訂購(gòu)采購(gòu)工作。政府專網(wǎng)建成后,將極大地增進(jìn)政府業(yè)務(wù)規(guī)范化、辦公自動(dòng)化、管理智能化、決策科學(xué)化、提高政府機(jī)關(guān)辦事工作效率,實(shí)現(xiàn)政府各部門(mén)以及上下級(jí)政府部門(mén)之間信息和資源共享。網(wǎng)絡(luò)環(huán)境總述市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù),市區(qū)外采用IPOVERSDH傳播技術(shù),各節(jié)點(diǎn)用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點(diǎn),在市區(qū)內(nèi)采用4個(gè)匯集點(diǎn),各節(jié)點(diǎn)用物理光纖就近接入?yún)R集點(diǎn)。在市區(qū)外運(yùn)用網(wǎng)絡(luò)供應(yīng)商提供SDH環(huán)路,各節(jié)點(diǎn)用物理光纖接入SDH環(huán)。核心節(jié)點(diǎn)與SDH環(huán)通過(guò)物理光纖連接,把市內(nèi)和市外兩某些連通,構(gòu)成完整政府專網(wǎng)網(wǎng)絡(luò)平臺(tái)??傮w構(gòu)造請(qǐng)參見(jiàn)網(wǎng)絡(luò)總體拓?fù)鋱D。此外,省政府專網(wǎng)光纖接入到IBM2216路由器,再通過(guò)防火墻(上海華堂),以百兆方式接入核心節(jié)點(diǎn)接入互換機(jī)。國(guó)務(wù)院專網(wǎng)幀中繼專線接入到CISCO路由器,再通過(guò)防火墻(中科院安勝(ERCIST)防火墻),以百兆方式接入核心節(jié)點(diǎn)接入互換機(jī)。寧波市解決重大事件指揮中心(如下簡(jiǎn)稱指揮中心)是一種獨(dú)立網(wǎng)段,以多模光纖接入核心點(diǎn)接入互換機(jī),中間需以防火墻隔離。市政府西大院所有單位作為一種節(jié)點(diǎn),用4芯光纖接入?yún)R集點(diǎn)。政府專網(wǎng)采用CISCOWORKSFORNT作為網(wǎng)管軟件。業(yè)務(wù)現(xiàn)狀一方面,寧波市政府與上級(jí)政府部門(mén)信息數(shù)據(jù)互換量非常大。一方面,國(guó)務(wù)院、省政府需要寧波市政府上報(bào)大量信息,如地方經(jīng)濟(jì)運(yùn)營(yíng)狀況、經(jīng)濟(jì)規(guī)劃、社會(huì)治安狀況等;另一方面,寧波市政府也需要及時(shí)理解國(guó)家關(guān)于政策、法規(guī)最新?tīng)顩r。第二,寧波市政府與各縣區(qū)政府?dāng)?shù)據(jù)互換量也相稱大。第三,為了切實(shí)做好政府各項(xiàng)綜合管理工作,市政府要領(lǐng)導(dǎo)、安排、督促和協(xié)調(diào)政府各職能部門(mén)工作,因而與各部門(mén)業(yè)務(wù)聯(lián)系十分密切,信息互換量很大。第四,市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。1.寧波市與上級(jí)政府部門(mén)之間信息交流以公文、告知告示、要聞信息等文字資料為主。2.寧波市政府系統(tǒng)(含與市委、人大、政協(xié)系統(tǒng)之間)內(nèi)部信息交流內(nèi)容,重要有:·網(wǎng)上辦公:公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)?!ず暧^信息:涉及國(guó)際、國(guó)內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟(jì)數(shù)據(jù),每日信息,重要會(huì)議,重大事件?!せ拘畔ⅲ荷婕笆星?、縣情,各級(jí)領(lǐng)導(dǎo)狀況,機(jī)構(gòu)設(shè)立、直屬機(jī)構(gòu)設(shè)立、編制、職能職責(zé)、聯(lián)系電話、郵箱地址等?!じ嬷媸荆荷婕皶?huì)議、學(xué)習(xí)、上報(bào)材料等告知,系統(tǒng)內(nèi)通報(bào)等?!すぷ鲃?dòng)態(tài):國(guó)家、省、市政府及政府關(guān)于部門(mén)重要政策信息,政府內(nèi)部改革思路新經(jīng)驗(yàn)等?!ぶ卮笫录鉀Q:綜合治理、災(zāi)害、汛情、交通等方面文字、圖像及視頻信息。·政策法規(guī):地方政策法規(guī)和國(guó)家、浙江省政策法規(guī)·行業(yè)數(shù)據(jù):科技、文化、教誨、交通等方面行業(yè)數(shù)據(jù)。·地理信息系統(tǒng):規(guī)劃、建筑、地形地貌等方面數(shù)據(jù),涉及大型圖片。·會(huì)計(jì)核算中心:財(cái)務(wù)數(shù)據(jù)·經(jīng)濟(jì)服務(wù)中心:批文、辦事程序等數(shù)據(jù)以上諸項(xiàng)信息內(nèi)容除已闡明以外,別的都為文字、數(shù)字等形式。網(wǎng)絡(luò)信息安全概況當(dāng)前,諸多公開(kāi)新聞表白美國(guó)國(guó)家安全局(NSA)有也許在許多美國(guó)大軟件公司產(chǎn)品中安裝“后門(mén)”,其中涉及某些應(yīng)用廣泛操作系統(tǒng)。為此德國(guó)軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密計(jì)算機(jī)里,不得使用美國(guó)操作系統(tǒng)。作為信息安全保障,咱們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國(guó)內(nèi)自主開(kāi)發(fā)先進(jìn)網(wǎng)絡(luò)安全產(chǎn)品,將安全風(fēng)險(xiǎn)降至最低。在為各安全產(chǎn)品選型時(shí),咱們立足國(guó)內(nèi),同步保證所選產(chǎn)品先進(jìn)性及可靠性,并規(guī)定通過(guò)國(guó)家各重要安全測(cè)評(píng)認(rèn)證。網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet正在越來(lái)越多地融入到社會(huì)各個(gè)方面。一方面,隨著網(wǎng)絡(luò)顧客成分越來(lái)越多樣化,出于各種目網(wǎng)絡(luò)入侵和襲擊越來(lái)越頻繁;另一方面,隨著Internet和以電子商務(wù)為代表網(wǎng)絡(luò)應(yīng)用日益發(fā)展,Internet越來(lái)越深地滲入到各行各業(yè)核心要害領(lǐng)域。Internet安全涉及其上信息數(shù)據(jù)安全,日益成為與政府、軍隊(duì)、公司、個(gè)人利益休戚有關(guān)“大事情”。特別對(duì)于政府和軍隊(duì)而言,如果網(wǎng)絡(luò)安全問(wèn)題不能得到妥善解決,將會(huì)對(duì)國(guó)家安全帶來(lái)嚴(yán)重威脅。二月,在三天時(shí)間里,黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站-Yahoo!、Amazon、eBay、CNN陷入癱瘓,導(dǎo)致了十幾億美元損失,令美國(guó)上下如臨大敵。黑客使用了DDoS(分布式回絕服務(wù))襲擊手段,用大量無(wú)用信息阻塞網(wǎng)站服務(wù)器,使其不能提供正常服務(wù)。在隨后不到一種月時(shí)間里,又先后有微軟、ZDNet和E*TRADE等知名網(wǎng)站遭受襲擊。國(guó)內(nèi)網(wǎng)站也未能幸免于難,新浪、當(dāng)當(dāng)書(shū)店、EC123等知名網(wǎng)站也先后受到黑客襲擊。國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月客觀地說(shuō),沒(méi)有任何一種網(wǎng)絡(luò)可以免受安全困擾,根據(jù)FinancialTimes曾做過(guò)記錄,平均每20秒鐘就有一種網(wǎng)絡(luò)遭到入侵。僅在美國(guó),每年由于網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致經(jīng)濟(jì)損失就超過(guò)100億美元。典型黑客襲擊黑客們進(jìn)行網(wǎng)絡(luò)襲擊目各種各樣,有是出于政治目,有是員工內(nèi)部破壞,尚有是出于好奇或者滿足自己虛榮心。隨著Internet高速發(fā)展,也浮現(xiàn)了有明確軍事目軍方黑客組織。在典型網(wǎng)絡(luò)襲擊中,黑客普通會(huì)采用如下環(huán)節(jié):自我隱藏,黑客使用通過(guò)rsh或telnet在此前攻克主機(jī)上跳轉(zhuǎn)、通過(guò)錯(cuò)誤配備proxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來(lái)隱藏她們IP地址,更高檔一點(diǎn)黑客,精通運(yùn)用電話互換侵入主機(jī)。網(wǎng)絡(luò)偵探和信息收集,在運(yùn)用Internet開(kāi)始對(duì)目的網(wǎng)絡(luò)進(jìn)行襲擊前,典型黑客將會(huì)對(duì)網(wǎng)絡(luò)外部主機(jī)進(jìn)行某些初步探測(cè)。黑客普通在查找其她弱點(diǎn)之前一方面試圖收集網(wǎng)絡(luò)構(gòu)造自身信息。通過(guò)查看上面查詢來(lái)成果列表,普通很容易建立一種主機(jī)列表并且開(kāi)始理解主機(jī)之間聯(lián)系。黑客在這個(gè)階段使用某些簡(jiǎn)樸命令來(lái)獲得外部和內(nèi)部主機(jī)名稱:例如,使用nslookup來(lái)執(zhí)行“l(fā)s<domainornetwork>”,finger外部主機(jī)上顧客等。確認(rèn)信任網(wǎng)絡(luò)構(gòu)成,普通而言,網(wǎng)絡(luò)中主控主機(jī)都會(huì)受到良好安全保護(hù),黑客對(duì)這些主機(jī)入侵是通過(guò)網(wǎng)絡(luò)中主控主機(jī)信任成分來(lái)開(kāi)始襲擊,一種網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被以為是安全主機(jī)。黑客普通通過(guò)檢查運(yùn)營(yíng)nfsd或mountd那些主機(jī)輸出NFS開(kāi)始入侵,有時(shí)候某些重要目錄(例如/etc,/home)能被一種信任主機(jī)mount。確認(rèn)網(wǎng)絡(luò)構(gòu)成弱點(diǎn),如果一種黑客能建立你外部和內(nèi)部主機(jī)列表,她就可以用掃描程序(如ADMhack,mscan,nmap等)來(lái)掃描某些特定遠(yuǎn)程弱點(diǎn)。啟動(dòng)掃描程序主機(jī)系統(tǒng)管理員普通都不懂得一種掃描器已經(jīng)在她主機(jī)上運(yùn)營(yíng),由于’ps’和’netstat’都被特洛伊化來(lái)隱藏掃描程序。在對(duì)外部主機(jī)掃描之后,黑客就會(huì)對(duì)主機(jī)與否易受襲擊或安全有一種對(duì)的判斷。有效運(yùn)用網(wǎng)絡(luò)構(gòu)成弱點(diǎn),當(dāng)黑客確認(rèn)了某些被信任外部主機(jī),并且同步確認(rèn)了某些在外部主機(jī)上弱點(diǎn),她們就要嘗試攻克主機(jī)了。黑客將襲擊一種被信任外部主機(jī),用它作為發(fā)動(dòng)襲擊內(nèi)部網(wǎng)絡(luò)據(jù)點(diǎn)。要襲擊大多數(shù)網(wǎng)絡(luò)構(gòu)成,黑客就要使用程序來(lái)遠(yuǎn)程襲擊在外部主機(jī)上運(yùn)營(yíng)易受襲擊服務(wù)程序,這樣例子涉及易受襲擊Sendmail,IMAP,POP3和諸如statd,mountd,pcnfsd等RPC服務(wù)。獲得對(duì)有弱點(diǎn)網(wǎng)絡(luò)構(gòu)成訪問(wèn)權(quán),在攻克了一種服務(wù)程序后,黑客就要開(kāi)始清除她在記錄文獻(xiàn)中所留下痕跡,然后留下作后門(mén)二進(jìn)制文獻(xiàn),使其后來(lái)可以不被發(fā)現(xiàn)地訪問(wèn)該主機(jī)。當(dāng)前,黑客重要襲擊方式有:欺騙:通過(guò)偽造IP地址或者盜用顧客帳號(hào)等辦法來(lái)獲得對(duì)系統(tǒng)非授權(quán)使用,例如盜用撥號(hào)帳號(hào)。竊聽(tīng):運(yùn)用以太網(wǎng)廣播特性,使用監(jiān)聽(tīng)程序來(lái)截獲通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包,對(duì)信息進(jìn)行過(guò)濾和分析后得到有用信息,例如使用sniffer程序竊聽(tīng)顧客密碼。數(shù)據(jù)竊取:在信息共享和傳遞過(guò)程中,對(duì)信息進(jìn)行非法復(fù)制,例如,非法拷貝網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)重要商業(yè)信息,盜取網(wǎng)站顧客個(gè)人信息等。數(shù)據(jù)篡改:在信息共享和傳遞過(guò)程中,對(duì)信息進(jìn)行非法修改,例如,刪除系統(tǒng)內(nèi)重要文獻(xiàn),破壞網(wǎng)站數(shù)據(jù)庫(kù)等?;亟^服務(wù):使用大量無(wú)意義服務(wù)祈求來(lái)占用系統(tǒng)網(wǎng)絡(luò)帶寬、CPU解決能力和IO能力,導(dǎo)致系統(tǒng)癱瘓,無(wú)法對(duì)外提供服務(wù)。典型例子就是年初黑客對(duì)Yahoo等大型網(wǎng)站襲擊。黑客襲擊往往導(dǎo)致重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被運(yùn)用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果,如果是對(duì)軍用和政府網(wǎng)絡(luò)襲擊,還會(huì)對(duì)國(guó)家安全導(dǎo)致嚴(yán)重威脅。網(wǎng)絡(luò)與信息安全平臺(tái)任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)任務(wù)就是創(chuàng)立一種完善安全防護(hù)體系,對(duì)所有非法網(wǎng)絡(luò)行為,如越權(quán)訪問(wèn)、病毒傳播、惡意破壞等等,事前防止、事中報(bào)警并制止,事后能有效將系統(tǒng)恢復(fù)。在上文對(duì)黑客行為描述中,咱們可以看出,網(wǎng)絡(luò)上任何一種安全漏洞都會(huì)給黑客以可乘之機(jī)。知名木桶原理(木桶容量由其最短木板決定)在網(wǎng)絡(luò)安全里特別合用。因此,咱們方案必要是一種完整網(wǎng)絡(luò)安全解決方案,對(duì)網(wǎng)絡(luò)安全每一種環(huán)節(jié),都要有仔細(xì)考慮。
安全架構(gòu)分析與設(shè)計(jì)邏輯上,寧波市政府系記錄算機(jī)專網(wǎng)將劃分為三個(gè)區(qū)域:數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)顧客、遠(yuǎn)程其她顧客。其中每一種局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作(控制)區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段,網(wǎng)段之間設(shè)立安全隔離區(qū)。每一種網(wǎng)段必要可以構(gòu)成一種獨(dú)立、完整、安全、可靠系統(tǒng)。網(wǎng)絡(luò)整體構(gòu)造寧波市政府系記錄算機(jī)專網(wǎng)需要涉及若干政府部門(mén),各地方網(wǎng)絡(luò)通過(guò)專用網(wǎng)連接起來(lái)。寧波在全國(guó)政府專網(wǎng)中位置政府專網(wǎng)是由國(guó)家、省、市及縣級(jí)政府部門(mén)共同構(gòu)成全國(guó)性廣域網(wǎng)。整個(gè)廣域網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一種典型星形拓樸型構(gòu)造,重要負(fù)責(zé)傳播國(guó)家、省、市、縣政府間文字、圖像和視頻信息。其構(gòu)造圖如下:政府系統(tǒng)構(gòu)造圖整個(gè)區(qū)域網(wǎng)絡(luò)拓樸為一倒叉樹(shù)構(gòu)造,國(guó)務(wù)院為根節(jié)點(diǎn),寧波市作為網(wǎng)絡(luò)中一級(jí)節(jié)點(diǎn)同步又作為一種區(qū)域中心節(jié)點(diǎn),它既要與國(guó)家、省各部門(mén)互聯(lián),又要與各縣(市)、區(qū)政府和市政府各部門(mén)互聯(lián),在整個(gè)網(wǎng)絡(luò)中起著一種承上啟下作用。光纖網(wǎng)絡(luò)平臺(tái)光纖網(wǎng)絡(luò)平臺(tái)提供商為寧波市廣電網(wǎng)絡(luò)傳播中心。詳細(xì)狀況如下:1.市區(qū)范疇內(nèi)(東北大院以外)73家單位采用物理光纖分別接入四個(gè)匯集點(diǎn)。這四個(gè)匯集點(diǎn)分別是廣電網(wǎng)絡(luò)傳播中心匯集點(diǎn)、華僑城匯集點(diǎn)、廣電局匯集點(diǎn)、電視中心匯集點(diǎn)。單點(diǎn)接入示意圖如下:市區(qū)內(nèi)各部門(mén)邏輯分布圖如下圖:2.市區(qū)以外單位重要是余姚、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、保稅區(qū)、大榭開(kāi)發(fā)區(qū)、港務(wù)局等部門(mén)。這些部門(mén)與核心節(jié)點(diǎn)之間將借助寧波廣電sdh環(huán)網(wǎng)。單點(diǎn)接入示意圖如下:市區(qū)外各部門(mén)邏輯分布圖如下圖:寧波政府專網(wǎng)安全風(fēng)險(xiǎn)分析重要應(yīng)用服務(wù)安全風(fēng)險(xiǎn)應(yīng)用服務(wù)系統(tǒng)中各個(gè)節(jié)點(diǎn)有各種應(yīng)用服務(wù),這些應(yīng)用服務(wù)提供應(yīng)各級(jí)部門(mén)或單位使用。不能防止未經(jīng)驗(yàn)證操作人員運(yùn)用應(yīng)用系統(tǒng)脆弱性來(lái)襲擊應(yīng)用系統(tǒng),使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而寧波市政府這些應(yīng)用系統(tǒng)是政府專網(wǎng)中最重要構(gòu)成某些。DNS服務(wù)DNS是網(wǎng)絡(luò)正常運(yùn)作基本元素,它們是由運(yùn)營(yíng)專門(mén)或操作系統(tǒng)提供服務(wù)Unix或NT主機(jī)構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)襲擊目的或跳板。對(duì)DNS襲擊普通是對(duì)其她遠(yuǎn)程主機(jī)進(jìn)行襲擊做準(zhǔn)備,如篡改域名解析記錄以欺騙被襲擊系統(tǒng),或通過(guò)獲取DNS區(qū)域文獻(xiàn)而得到進(jìn)一步入侵重要信息。知名域名服務(wù)系統(tǒng)BIND就存在眾多可以被入侵者運(yùn)用漏洞。特別是基于URL應(yīng)用依賴于DNS系統(tǒng),DNS安全性也是網(wǎng)絡(luò)安全關(guān)注焦點(diǎn)。E-Mail由于郵件服務(wù)器軟件眾多廣為人知安全漏洞,郵件服務(wù)器成為進(jìn)行遠(yuǎn)程襲擊首選目的之一。如運(yùn)用公共郵件服務(wù)器進(jìn)行郵件欺騙或郵件炸彈中轉(zhuǎn)站或引擎;運(yùn)用sendmail漏洞直接入侵到郵件服務(wù)器主機(jī)等。而寧波政府專網(wǎng)內(nèi)部E-mail系統(tǒng)覆蓋面廣,因此迫切需要使用防火墻來(lái)保護(hù)內(nèi)部E-mail系統(tǒng)。WWW運(yùn)用HTTP服務(wù)器某些漏洞,特別是在大量使用服務(wù)器腳本系統(tǒng)上,運(yùn)用這些可執(zhí)行腳本程序,未經(jīng)授權(quán)操作者可以很容易地獲得系統(tǒng)控制權(quán)。在寧波市政府存在各種WWW服務(wù),這些服務(wù)合同或多或少存在安全隱患。FTP某些FTP服務(wù)器缺陷會(huì)使服務(wù)器很容易被錯(cuò)誤配備,從而導(dǎo)致安全問(wèn)題,如被匿名顧客上載木馬程序,下載系統(tǒng)中重要信息(如口令文獻(xiàn))并導(dǎo)致最后入侵。有些服務(wù)器版本帶有嚴(yán)重錯(cuò)誤,例如可以使任何人獲得對(duì)涉及root在內(nèi)任何帳號(hào)訪問(wèn)。網(wǎng)絡(luò)中重要系統(tǒng)安全風(fēng)險(xiǎn)整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備重要采用路由器設(shè)備,有必要分析這些設(shè)備風(fēng)險(xiǎn)。路由器是網(wǎng)絡(luò)核心部件,路由器安全將直接影響整個(gè)網(wǎng)絡(luò)安全。下面列舉了某些路由器所存在重要安全風(fēng)險(xiǎn):■ 路由器缺省狀況下只使用簡(jiǎn)樸口令驗(yàn)證顧客身份,并且遠(yuǎn)程TELNET登錄時(shí)以明文傳播口令。一旦口令泄密路由器將失去所有保護(hù)能力?!雎酚善骺诹钊觞c(diǎn)是沒(méi)有計(jì)數(shù)器功能,因此每個(gè)人都可以不限次數(shù)嘗試登錄口令,在口令字典等工具協(xié)助下很容易破解登錄口令。■每個(gè)管理員都也許使用相似口令,因而,路由器對(duì)于誰(shuí)曾經(jīng)作過(guò)什么修改,系統(tǒng)沒(méi)有跟蹤審計(jì)能力。■路由器實(shí)現(xiàn)某些動(dòng)態(tài)路由合同存在一定安全漏洞,有也許被惡意襲擊者運(yùn)用來(lái)破壞網(wǎng)絡(luò)路由設(shè)立,達(dá)到破壞網(wǎng)絡(luò)或?yàn)橐u擊做準(zhǔn)備目。針對(duì)這種狀況,必要采用辦法,有效防止非法對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)?!鯰CP/IP風(fēng)險(xiǎn):系統(tǒng)采用TCP/IP合同進(jìn)行通信,而由于TCP/IP合同中存在固有漏洞,例如:針對(duì)TCP序號(hào)襲擊,TCP會(huì)話劫持,TCPSYN襲擊等。同步系統(tǒng)DNS采用UDP合同,由于UDP合同是非面向連接合同,對(duì)系統(tǒng)中DNS等有關(guān)應(yīng)用帶來(lái)安全風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)系統(tǒng)安全分析數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息場(chǎng)合并肩負(fù)著管理這些數(shù)據(jù)信息任務(wù)。數(shù)據(jù)庫(kù)安全問(wèn)題,在數(shù)據(jù)庫(kù)技術(shù)誕生之后就始終存在,并隨著數(shù)據(jù)庫(kù)技術(shù)發(fā)展而不斷深化。不法份子運(yùn)用已有或者更加先進(jìn)技術(shù)手段普通對(duì)數(shù)據(jù)庫(kù)進(jìn)行偽造數(shù)據(jù)庫(kù)中數(shù)據(jù)、損壞數(shù)據(jù)庫(kù)、竊取數(shù)據(jù)庫(kù)中數(shù)據(jù)。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)安全性和保密性對(duì)于網(wǎng)絡(luò)正常、安全運(yùn)營(yíng)至關(guān)重要。Unix系統(tǒng)安全分析 UNIX系統(tǒng)安全具備如下特性:操作系統(tǒng)可靠性:它用于保證系統(tǒng)完整性,系統(tǒng)處在保護(hù)模式下,通過(guò)硬件和軟件保證系統(tǒng)操作可靠性。訪問(wèn)控制:容許通過(guò)變化顧客安全級(jí)別、訪問(wèn)權(quán)限,具備統(tǒng)一訪問(wèn)控制表。對(duì)象可用:當(dāng)對(duì)象不需要時(shí)應(yīng)當(dāng)及時(shí)清除。個(gè)人身份標(biāo)記與認(rèn)證:它重要為了擬定身份,如顧客登陸時(shí)采用擴(kuò)展DES算法對(duì)口令進(jìn)行加密。審計(jì):它規(guī)定對(duì)使用身份標(biāo)記和認(rèn)證機(jī)制,文獻(xiàn)創(chuàng)立,修改,系統(tǒng)管理所有操作以及其她關(guān)于安全事件進(jìn)行記錄,以便系統(tǒng)管理員進(jìn)行安全跟蹤。往來(lái)文獻(xiàn)系統(tǒng):UNIX系統(tǒng)提供了分布式文獻(xiàn)系統(tǒng)(DFS)網(wǎng)絡(luò)安全。 將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連接,會(huì)使您網(wǎng)絡(luò)遭受潛在服務(wù)中斷、未經(jīng)授權(quán)入侵以及相稱大破壞。例如下面某些安全隱患:■“回絕服務(wù)”襲擊(DenialofServiceAttacks):這些襲擊禁止系統(tǒng)向顧客提供服務(wù),使顧客不能得到某種服務(wù)。例如,襲擊也許使用大而無(wú)用流量充斥網(wǎng)絡(luò),導(dǎo)致無(wú)法向顧客提供服務(wù)。最普通狀況是這種襲擊也許毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務(wù)時(shí)慢出奇?!鼍彌_區(qū)溢出襲擊(BufferOverrunExploits):其中涉及運(yùn)用軟件弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中,從而在它以根身份運(yùn)營(yíng)時(shí),有也許賦予剝削者對(duì)您系統(tǒng)根訪問(wèn)權(quán)。這也也許導(dǎo)致某種“回絕服務(wù)”襲擊?!龈`聽(tīng)和重放襲擊(SnoopingandReplayAttacks):竊聽(tīng)襲擊涉及某個(gè)對(duì)網(wǎng)絡(luò)上兩臺(tái)機(jī)器之間通訊流進(jìn)行偵聽(tīng)入侵者。通訊流也許包括使用telnet、rlogin或ftp時(shí)來(lái)回傳遞未加密口令。這有也許導(dǎo)致某個(gè)未經(jīng)授權(quán)個(gè)人非法進(jìn)入您網(wǎng)絡(luò)或看到機(jī)密數(shù)據(jù)。■IP欺騙(IPSpoofing):基于IP欺騙襲擊涉及對(duì)計(jì)算機(jī)未經(jīng)授權(quán)訪問(wèn)。通過(guò)偵聽(tīng)網(wǎng)絡(luò)通訊流,入侵者找到受信任主機(jī)一種IP地址,然后發(fā)送消息時(shí)批示該消息來(lái)自受信任主機(jī)?!鰞?nèi)部泄密(InternalExposure):絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿現(xiàn)任或前任雇員濫用對(duì)信息訪問(wèn)權(quán)或非法闖入您網(wǎng)絡(luò)。針對(duì)Unix系統(tǒng)存在諸多風(fēng)險(xiǎn),應(yīng)當(dāng)采用相應(yīng)安全辦法。必要對(duì)這些風(fēng)險(xiǎn)加以控制。針對(duì)這個(gè)某些安全控制可以采用特殊安全方略,同步運(yùn)用有關(guān)軟件對(duì)系統(tǒng)進(jìn)行配備、監(jiān)控。制定詳細(xì)訪問(wèn)控制籌劃、方略。WindowsNT系統(tǒng)安全分析WindowsNT安全機(jī)制基本是所有資源和操作都受到選取訪問(wèn)控制保護(hù),可覺(jué)得同一目錄不同文獻(xiàn)設(shè)立不同權(quán)限。這是NT文獻(xiàn)系統(tǒng)最大特點(diǎn)。NT安全機(jī)制不是外加,而是建立在操作系統(tǒng)內(nèi)部,可以通過(guò)一定設(shè)立使文獻(xiàn)和其她資源免受在存儲(chǔ)計(jì)算機(jī)上工作顧客和通過(guò)網(wǎng)絡(luò)接觸資源顧客威脅(破壞、非法編輯等)。安全機(jī)制甚至包括基本系統(tǒng)功能,例如設(shè)立系統(tǒng)時(shí)鐘。對(duì)顧客帳號(hào)、顧客權(quán)限及資源權(quán)限合理組合,可以有效地保證安全性。通過(guò)一系列管理工具,以及對(duì)顧客帳號(hào)、口令管理,對(duì)文獻(xiàn)、數(shù)據(jù)授權(quán)訪問(wèn),執(zhí)行動(dòng)作限制,以及對(duì)事件審核可以使WindowsNT達(dá)到C2級(jí)安全。在網(wǎng)絡(luò)中,有三種方式可以訪問(wèn)NT服務(wù)器:(1)通過(guò)顧客帳號(hào)、密碼、顧客組方式登錄到服務(wù)器上,在服務(wù)器容許權(quán)限內(nèi)對(duì)資源進(jìn)行訪問(wèn)、操作。這種方式可控制性較強(qiáng),可以針對(duì)不同顧客。(2)在局部范疇內(nèi)通過(guò)資源共享形式,這種方式建立在NETBIOS基本之上。通過(guò)對(duì)共享資源共享權(quán)限控制達(dá)到安全保護(hù)。但不能針對(duì)不同顧客,當(dāng)一種顧客在通過(guò)共享對(duì)某一種資源進(jìn)行操作時(shí)(這時(shí)共享權(quán)限有所擴(kuò)大),其她顧客趁虛而入,而導(dǎo)致對(duì)資源破壞。(3)在網(wǎng)絡(luò)中通過(guò)TCP/IP合同,對(duì)服務(wù)器進(jìn)行訪問(wèn)。當(dāng)前典型應(yīng)用有FTP、HTTP、WWW等。通過(guò)對(duì)文獻(xiàn)權(quán)限限制和對(duì)IP選取,對(duì)登錄顧客認(rèn)證可以在安全性上做到一定保護(hù)。 由于WindowsNT系統(tǒng)復(fù)雜性,以及系統(tǒng)生存周期比較短,系統(tǒng)中存在大量已知和未知漏洞,某些國(guó)際上安全組織已經(jīng)發(fā)布了大量安全漏洞,其中某些漏洞可以導(dǎo)致入侵者獲得管理員權(quán)限,而另某些漏洞則可以被用來(lái)實(shí)行回絕服務(wù)襲擊。管理系統(tǒng)安全風(fēng)險(xiǎn)管理系統(tǒng)安全風(fēng)險(xiǎn)除了上面提到系統(tǒng)風(fēng)險(xiǎn)之外,系統(tǒng)構(gòu)造復(fù)雜、管理難度大,存在各種服務(wù),哪些服務(wù)對(duì)哪些人是開(kāi)放、哪些是回絕都沒(méi)有一定安全劃分。必要防止內(nèi)部不有關(guān)人員非法訪問(wèn)安全限度規(guī)定高數(shù)據(jù),并且整個(gè)系統(tǒng)正常運(yùn)營(yíng)也是保證銀行系統(tǒng)尋常工作正常進(jìn)行一種十分重要方面。必要限制管理系統(tǒng)內(nèi)各個(gè)部門(mén)之間訪問(wèn)權(quán)限,維護(hù)各個(gè)系統(tǒng)安全訪問(wèn)。而由于整個(gè)系統(tǒng)是一種體系,任何一種點(diǎn)浮現(xiàn)安全問(wèn)題,都也許給有關(guān)人員帶來(lái)?yè)p失。寧波政府專網(wǎng)安全風(fēng)險(xiǎn)解決方案設(shè)計(jì)原則和目的原則:從網(wǎng)絡(luò)安全整個(gè)體系考慮,本次防火墻選取原則是:安全性:防火墻提供一整套訪問(wèn)控制/防護(hù)安全方略,保證系統(tǒng)安全性;開(kāi)放性:防火墻采用國(guó)家防火墻有關(guān)原則和網(wǎng)絡(luò)安全領(lǐng)域有關(guān)技術(shù)原則;高可靠性:防火墻采用軟件、硬件結(jié)合形式,保證系統(tǒng)長(zhǎng)期穩(wěn)定、安全運(yùn)營(yíng);可擴(kuò)充性:防火墻采用模塊化設(shè)計(jì)方式,以便產(chǎn)品升級(jí)、功能增強(qiáng)、調(diào)節(jié)系統(tǒng)構(gòu)造;可管理性:防火墻采用基于windows平臺(tái)GUI模式進(jìn)行管理,以便各種安全方略設(shè)立;可維護(hù)性:防火墻軟件維護(hù)以便,便于操作管理;目的:網(wǎng)絡(luò)安全涉及諸多方面,如:訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。本次防火墻系統(tǒng)建設(shè)目的是通過(guò)采用防火墻技術(shù),防止不同節(jié)點(diǎn)間對(duì)內(nèi)聯(lián)網(wǎng)數(shù)據(jù)非法使用和訪問(wèn),監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過(guò)程。有效防止襲擊行為。限制對(duì)內(nèi)部資源和系統(tǒng)訪問(wèn)范疇。通過(guò)在系統(tǒng)中設(shè)立防火墻安全辦法將達(dá)到如下目的:保護(hù)基于專網(wǎng)業(yè)務(wù)不間斷正常運(yùn)作。涉及構(gòu)成所有設(shè)施、系統(tǒng)、以及系統(tǒng)所解決數(shù)據(jù)(信息)。重要信息在可控范疇內(nèi)傳播,即有效控制信息傳播范疇,防止重要信息泄露解決網(wǎng)絡(luò)邊界安全問(wèn)題保證網(wǎng)絡(luò)內(nèi)部安全實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在顧客和資源之間進(jìn)行嚴(yán)格訪問(wèn)控制(通過(guò)身份認(rèn)證,訪問(wèn)控制)建立一套數(shù)據(jù)審計(jì)、記錄安全管理機(jī)制(網(wǎng)絡(luò)數(shù)據(jù)采集,審計(jì))融合技術(shù)手段和行政手段,形成全局安全管理。為理解決專網(wǎng)面臨安全問(wèn)題,有必要建立一整套安全機(jī)制,涉及:訪問(wèn)控制、入侵檢測(cè)等各種方面。信息系統(tǒng)安全是一種復(fù)雜系統(tǒng)工程,涉及到技術(shù)和管理等各種層面。為達(dá)到以上目的,方正數(shù)碼在充分調(diào)研和分析比較基本上采用合理技術(shù)手段和產(chǎn)品以構(gòu)建一種完整安全技術(shù)體系,協(xié)助寧波政府建立完善安全管理體系。網(wǎng)絡(luò)安全解決方案構(gòu)成針對(duì)前文對(duì)黑客入侵過(guò)程描述,為了更為有效保證網(wǎng)絡(luò)安全,方正數(shù)碼提出了兩個(gè)理念:立體安全防護(hù)體系和安全服務(wù)支撐體系。一方面網(wǎng)絡(luò)安全決不但僅是一種防火墻,它應(yīng)是涉及入侵測(cè)檢(IDS)、虛擬專用網(wǎng)(VPN)等功能在內(nèi)立體安全防護(hù)體系;另一方面真正網(wǎng)絡(luò)安全一定要配備完善高質(zhì)量安全維護(hù)服務(wù),以使安全產(chǎn)品充分發(fā)揮出其真正安全效力。一種好網(wǎng)絡(luò)安全解決方案應(yīng)當(dāng)由如下幾種某些構(gòu)成:防火墻:對(duì)網(wǎng)絡(luò)襲擊阻隔防火墻是保證網(wǎng)絡(luò)安全重要屏障。防火墻依照網(wǎng)絡(luò)流來(lái)源和訪問(wèn)目的,對(duì)網(wǎng)絡(luò)流進(jìn)行限制,容許合法網(wǎng)絡(luò)流,并禁止非法網(wǎng)絡(luò)流。防火墻最大意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一安全方略,有效將復(fù)雜網(wǎng)絡(luò)安全問(wèn)題簡(jiǎn)化,大大減少管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí),對(duì)的劃分網(wǎng)絡(luò)邊界和制定完善安全方略是至關(guān)重要。發(fā)展到今天,好防火墻往往集成了其她某些安全功能。例如方正方御防火墻在較好實(shí)現(xiàn)了防火墻功能同步,也實(shí)現(xiàn)了下面所說(shuō)入侵檢測(cè)功能;入侵檢測(cè)(IDS):對(duì)襲擊試探預(yù)警當(dāng)黑客試探襲擊時(shí),大多采用某些已知襲擊辦法來(lái)試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”,未雨綢繆。而從此外一種角度考慮問(wèn)題,“實(shí)時(shí)監(jiān)測(cè)”,發(fā)現(xiàn)黑客襲擊企圖,對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)也是非常故意義。甚至由此派生出了P^2DR理論。入侵檢測(cè)系統(tǒng)通過(guò)掃描網(wǎng)絡(luò)流里特性字段(網(wǎng)絡(luò)入侵檢測(cè)),或者探測(cè)系統(tǒng)異常行為(主機(jī)入侵檢測(cè)),來(lái)發(fā)現(xiàn)此類襲擊存在。一旦被發(fā)現(xiàn),則報(bào)警并作出相應(yīng)解決,同步可以依照預(yù)定辦法自動(dòng)反映,例如暫時(shí)封掉發(fā)起該掃描IP。方正方御防火墻已經(jīng)內(nèi)置了一套網(wǎng)絡(luò)版IDS系統(tǒng)可以迅速并有效發(fā)現(xiàn)1500余種襲擊行為。需要注意是,入侵檢測(cè)系統(tǒng)當(dāng)前不能,后來(lái)也很難,精準(zhǔn)發(fā)現(xiàn)黑客襲擊痕跡。事實(shí)上,黑客可以將某些廣為人知網(wǎng)絡(luò)襲擊進(jìn)行某些較為復(fù)雜變形,就能做到?jīng)]有入侵檢測(cè)系統(tǒng)可以辨認(rèn)出來(lái)。因此,在應(yīng)用入侵檢測(cè)系統(tǒng)時(shí),千萬(wàn)不要由于有了入侵檢測(cè)系統(tǒng),就不對(duì)系統(tǒng)中安全隱患進(jìn)行及時(shí)補(bǔ)救。安全審計(jì)管理安全審計(jì)系統(tǒng)必要實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和顧客系統(tǒng)中發(fā)生各類與安全關(guān)于事件,如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等,將這些狀況真實(shí)記錄,并能對(duì)于嚴(yán)重違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做記錄猶如飛機(jī)上黑匣子,在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)可以提供寶貴偵破和取證輔助數(shù)據(jù),并具備防銷(xiāo)毀和篡改特性。安全審計(jì)跟蹤機(jī)制內(nèi)容是在安全審計(jì)跟蹤中記錄關(guān)于安全信息,而安全審計(jì)管理內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)信息。安全審計(jì)跟蹤將考慮要選取記錄什么信息以及在什么條件下記錄信息。收集審計(jì)跟蹤信息,通過(guò)列舉被記錄安全事件類別(例如對(duì)安全規(guī)定明顯違背或成功操作完畢),能適應(yīng)各種不同需要。已知安全審計(jì)存在可對(duì)某些潛在侵犯安全襲擊源起到威攝作用。虛擬專用網(wǎng)(VPN):遠(yuǎn)程傳播安全VPN技術(shù)在把分散在各處服務(wù)器群連成了一種整體,形成了一種虛擬專用網(wǎng)絡(luò)。通過(guò)VPN加密通道,數(shù)據(jù)被加密后傳播,保證了遠(yuǎn)程數(shù)據(jù)傳播安全性。使用VPN可以象管理本地服務(wù)器同樣去安全管理遠(yuǎn)程服務(wù)器。VPN帶來(lái)最大好處是保證安全性同步,復(fù)用物理信道,減少使用成本。方正方御防火墻提供了軟、硬兩種方式來(lái)實(shí)現(xiàn)VPN。防病毒以及特洛伊木馬計(jì)算機(jī)病毒危害不言而喻,計(jì)算機(jī)病毒發(fā)展到今天,已經(jīng)和特洛伊木馬結(jié)合起來(lái),成為黑客又一利器。微軟原碼失竊案,據(jù)信,就是一黑客使用特洛伊木馬所為。安全方略實(shí)行保證網(wǎng)絡(luò)安全知識(shí)普及,網(wǎng)絡(luò)安全方略嚴(yán)格執(zhí)行,是網(wǎng)絡(luò)安全最重要保障。此外,信息備份是信息安全最起碼規(guī)定。能減少惡意網(wǎng)絡(luò)襲擊或者意外災(zāi)害帶來(lái)破壞性損失。超高安全規(guī)定下網(wǎng)絡(luò)保護(hù)對(duì)于寧波市政府系記錄算機(jī)專網(wǎng)數(shù)據(jù)中心安全而言,安全性需求就更加高,屬于超高安全規(guī)定下網(wǎng)絡(luò)保護(hù)范疇,因而需要在這些地方使用2臺(tái)防火墻進(jìn)行雙機(jī)熱備,以保證數(shù)據(jù)穩(wěn)定傳播。認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全根基所在,特別在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)(涉及撥號(hào))時(shí),要有非常嚴(yán)格認(rèn)證與授權(quán)機(jī)制,防止黑客假冒身份滲入進(jìn)內(nèi)部網(wǎng)絡(luò)。對(duì)于內(nèi)部訪問(wèn),也要有完善網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定,防止由內(nèi)部人員發(fā)起襲擊──70%以上襲擊都是內(nèi)部人員發(fā)起。咱們建議寧波市政府系記錄算機(jī)專網(wǎng)運(yùn)用基于X.509證書(shū)認(rèn)證體系(當(dāng)前最強(qiáng)認(rèn)證體系)來(lái)進(jìn)行認(rèn)證。方正方御防火墻管理也是用X.509證書(shū)進(jìn)行認(rèn)證。網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界一種玩笑就是:要想安全,就不要插上網(wǎng)線。這是一種簡(jiǎn)樸原理:如果網(wǎng)絡(luò)是隔離開(kāi),那么網(wǎng)絡(luò)襲擊就失去了其存在介質(zhì),皮之不存,毛將焉附。但對(duì)于需要和外界溝通實(shí)際應(yīng)用系統(tǒng)來(lái)說(shuō),完全物理隔離是行不通。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案,在網(wǎng)絡(luò)連通條件下,通過(guò)破壞網(wǎng)絡(luò)襲擊得以進(jìn)行此外兩個(gè)重要條件:從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而保證寧波市政府系記錄算機(jī)專網(wǎng)安全。實(shí)行保證寧波市政府系記錄算機(jī)專網(wǎng)牽涉網(wǎng)點(diǎn)眾多,網(wǎng)絡(luò)構(gòu)造復(fù)雜。要保護(hù)這樣一種繁雜網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全,必要有完善管理保證。安全系統(tǒng)要可以提供統(tǒng)一集中靈活管理機(jī)制,一方面要能讓寧波市政府系記錄算機(jī)專網(wǎng)網(wǎng)控中心網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況,此外一方面,要能讓地方網(wǎng)管人員靈活解決詳細(xì)事務(wù)。方正方御防火墻采用基于WindowsGUI顧客界面進(jìn)行遠(yuǎn)程集中式管理,配備管理界面直觀,易于操作??梢酝ㄟ^(guò)一種控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式管理。方正方御防火墻符合國(guó)家最新防火墻安全原則,采用了三級(jí)權(quán)限機(jī)制,分為管理員,方略員和審計(jì)員。管理員負(fù)責(zé)防火墻開(kāi)關(guān)及尋常維護(hù),方略員負(fù)責(zé)配備防火墻包過(guò)濾和入侵檢測(cè)規(guī)則,審計(jì)員負(fù)責(zé)日記管理和審計(jì)中授權(quán)機(jī)制,這樣她們共同地負(fù)責(zé)起一種安全管理平臺(tái)。事實(shí)上,方御防火墻是通過(guò)該原則認(rèn)證第一種狀態(tài)檢測(cè)型包過(guò)濾防火墻。此外,方正方御防火墻還提供了原原則中沒(méi)有強(qiáng)制執(zhí)行實(shí)行域分組授權(quán)機(jī)制,特別適合于寧波市政府系記錄算機(jī)專網(wǎng)這樣大型網(wǎng)絡(luò)。防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要、基本設(shè)施,它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)安全起著重要作用。運(yùn)用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間邊界,并在邊界上對(duì)不同區(qū)域間訪問(wèn)實(shí)行訪問(wèn)控制、身份鑒別、和安全審計(jì)等功能。防火墻按實(shí)現(xiàn)方式不同,其基本類型有:包過(guò)濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理技術(shù)長(zhǎng)處狀況下采用一種更加完善和安全防火墻技術(shù)。其功能強(qiáng)大,是將來(lái)防火墻技術(shù)發(fā)展一種重要趨勢(shì)。綜合考慮寧波市政府網(wǎng)絡(luò)安全實(shí)際狀況,在本方案中采用方正數(shù)碼方正方御復(fù)合型防火墻,放置在網(wǎng)絡(luò)連接各個(gè)節(jié)點(diǎn)間。防火墻設(shè)立及工作模式防火墻提供三個(gè)接口:內(nèi)網(wǎng)、外網(wǎng)、DMZ;防火墻工作在橋模式,這樣不需要改動(dòng)既有網(wǎng)絡(luò)拓?fù)錁?gòu)造;將對(duì)外服務(wù)各種服務(wù)設(shè)備放置在DMZ區(qū)域,和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)別開(kāi),保證內(nèi)部系統(tǒng)安全。防火墻功能設(shè)立及安全方略完善訪問(wèn)控制規(guī)則控制:通過(guò)方正方御防火墻提供基于TCP/IP合同中各個(gè)環(huán)節(jié)進(jìn)行安全控制,生成完整安全訪問(wèn)控制表,這個(gè)表涉及:■外網(wǎng)對(duì)DMZ內(nèi)服務(wù)訪問(wèn)控制。將外部對(duì)內(nèi)部、DMZ內(nèi)服務(wù)訪問(wèn)明確限制,防止非法對(duì)內(nèi)部重要系統(tǒng),特別是業(yè)務(wù)系統(tǒng)訪問(wèn)。運(yùn)用DMZ隔離效果,盡量將對(duì)外服務(wù)某些服務(wù)器放置在DMZ區(qū)域,通過(guò)NAT方式,保護(hù)內(nèi)部網(wǎng)絡(luò)免受襲擊。關(guān)閉操作系統(tǒng)提供除需要以外所有服務(wù)和應(yīng)用,防止由于這些服務(wù)和應(yīng)用自身漏洞給系統(tǒng)帶來(lái)風(fēng)險(xiǎn)。對(duì)內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫(kù)訪問(wèn)做嚴(yán)格規(guī)劃和限制,防止惡意襲擊行為發(fā)生?!鰞?nèi)部網(wǎng)絡(luò):內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)訪問(wèn)也要進(jìn)行嚴(yán)格限制。防止內(nèi)部員工對(duì)外網(wǎng)資源非法訪問(wèn)。同步內(nèi)部員工對(duì)DMZ區(qū)域服務(wù)器訪問(wèn)也必要做限制。內(nèi)部員工對(duì)外網(wǎng)WWW訪問(wèn)采用代理方式。■DMZ訪問(wèn):普通狀況下DMZ對(duì)外部和內(nèi)部都不能積極進(jìn)行訪問(wèn),除非特殊應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù),可以有限地開(kāi)放某些服務(wù)。借助方正方御防火墻提供基于狀態(tài)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)各個(gè)方向采用全面安全技術(shù)方略,制定嚴(yán)格完善訪問(wèn)控制方略保證從IP到傳播層數(shù)據(jù)安全。通過(guò)嚴(yán)格訪問(wèn)控制表來(lái)進(jìn)行限制。IPMAC地址捆綁:方正方御防火墻提供靈活而方式各種內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)IPMAC地址捆綁功能,將每臺(tái)機(jī)器IP地址和它自身物理地址捆綁,有效防止內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)IP地址盜用(該功能實(shí)質(zhì)是將網(wǎng)絡(luò)合同第二層地址和第三層地址進(jìn)行捆綁,達(dá)到一定安全級(jí)別)。內(nèi)部系統(tǒng)應(yīng)當(dāng)盡量采用固定IP分派方案。通過(guò)IPMAC地址捆綁,也可以對(duì)后期數(shù)據(jù)日記分析帶來(lái)一定以便性。URL攔截:方正方御防火墻實(shí)現(xiàn)了透明URL攔截功能,對(duì)通過(guò)防火墻應(yīng)用層URL進(jìn)行嚴(yán)格控制和管理,按照顧客規(guī)定進(jìn)行攔截。外部對(duì)DMZ、內(nèi)部URL訪問(wèn)進(jìn)行控制,同步也可以限制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)URL非法訪問(wèn)。在該方案中咱們將對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)狀況詳細(xì)理解,對(duì)URL攔截達(dá)到頁(yè)面級(jí)別。有效保護(hù)www應(yīng)用安全。內(nèi)置入侵檢測(cè)(IDS)方正數(shù)碼公司和國(guó)際網(wǎng)絡(luò)安全組織合伙,可以實(shí)時(shí)獲得最新系統(tǒng)入侵庫(kù)代碼,動(dòng)態(tài)地將這些襲擊技術(shù)解決方案加入到方正方御防火墻中,同步在方正方御防火墻內(nèi)部采用3I技術(shù),加速應(yīng)用層安全防護(hù)查詢過(guò)程。方正方御防火墻當(dāng)前可以支持1500種以上入侵檢測(cè)并可以成功阻斷這樣襲擊行為,例如近來(lái)紅色代碼。針對(duì)各種襲擊行為,例如TCP序列號(hào)襲擊、劫持、碎片襲擊、端口掃描可以辨認(rèn)阻斷。而這個(gè)數(shù)據(jù)庫(kù)可以實(shí)時(shí)更新、升級(jí)。升級(jí)在方正方御防火墻界面即可完畢。IDS和訪問(wèn)方略形成互動(dòng)。通過(guò)防火墻嵌入IDS功能可以有效防范對(duì)內(nèi)部Windows/NT,Unix系統(tǒng)襲擊行為。電子欺騙:防火墻可以自動(dòng)辨認(rèn)各種電子欺騙行為并進(jìn)行阻斷。同步防火墻可以對(duì)偽裝IP地址進(jìn)行辨認(rèn)。代理服務(wù)方正方御防火墻對(duì)外提供代理服務(wù)功能,內(nèi)部網(wǎng)絡(luò)對(duì)外訪問(wèn)可以通過(guò)防火墻提供代理服務(wù)功能,同步代理服務(wù)可以針對(duì)URL,SSL,FTP進(jìn)行應(yīng)用攔截,防止內(nèi)部人員對(duì)外網(wǎng)非法訪問(wèn)。日記系統(tǒng)及系統(tǒng)報(bào)警方正方御防火墻提供強(qiáng)大日記系統(tǒng),將通過(guò)防火墻數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種襲擊行為記錄集成到一起。同步系統(tǒng)提供針對(duì)各種記錄成果按照顧客規(guī)定進(jìn)行報(bào)表打印。針對(duì)通過(guò)防火墻數(shù)據(jù),可以按照數(shù)據(jù)類型、地址進(jìn)行記錄分析。針對(duì)各種管理數(shù)據(jù),防火墻進(jìn)行詳細(xì)記錄,網(wǎng)管人員可以以便查看對(duì)防火墻管理狀況。如果有內(nèi)部人員對(duì)防火墻訪問(wèn),可以通過(guò)管理數(shù)據(jù)進(jìn)行查詢。流量記錄:防火墻提供流量記錄功能,可以按照顧客名稱、地址等各種方式進(jìn)行記錄。系統(tǒng)報(bào)警:當(dāng)有人非法對(duì)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)候,系統(tǒng)實(shí)時(shí)報(bào)警會(huì)通過(guò)E-mail和聲音進(jìn)行報(bào)警。同步對(duì)各種非法訪問(wèn)和襲擊行為進(jìn)行記錄。通過(guò)強(qiáng)大日記系統(tǒng)和實(shí)時(shí)報(bào)警、日記報(bào)警等各種方式保證網(wǎng)絡(luò)浮現(xiàn)安全問(wèn)題時(shí)可以有資料分析;同步也可以通過(guò)對(duì)日記系統(tǒng)分析完善系統(tǒng)安全方略。帶寬分派,流量管理在專網(wǎng)上運(yùn)營(yíng)著某些重要業(yè)務(wù)數(shù)據(jù),這些業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)性規(guī)定高,必要保證這樣數(shù)據(jù)具備優(yōu)先權(quán)限,防止由于帶寬問(wèn)題影響應(yīng)用。方正方御防火墻可以針對(duì)實(shí)際狀況,對(duì)某些特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分派相對(duì)高帶寬。同步方正方御防火墻提供流量管理功能,對(duì)內(nèi)部網(wǎng)絡(luò)顧客對(duì)外網(wǎng)訪問(wèn)可以提供流量限制。H.323支持政府專網(wǎng)運(yùn)營(yíng)著視頻會(huì)議數(shù)據(jù)(H.323)。方正方御防火墻可以精確辨認(rèn)H.323數(shù)據(jù)流,讓數(shù)據(jù)合法通過(guò)。按照正常狀態(tài)檢測(cè)技術(shù),H.323數(shù)據(jù)也許被阻斷。在方正方御防火墻內(nèi)部成功進(jìn)行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)可以辨認(rèn)H.323連接,保證H.323數(shù)據(jù)通過(guò)。系統(tǒng)升級(jí)網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化,而網(wǎng)絡(luò)安全方略和軟件也不能一成不變,需要不斷升級(jí)。方正方御防火墻管理界面提供以便系統(tǒng)升級(jí)和IDS升級(jí)功能。保證防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步,防止由于新安全問(wèn)題給系統(tǒng)帶來(lái)安全風(fēng)險(xiǎn)。其中,特別是IDS功能,幾乎每天均有新安全風(fēng)險(xiǎn)和襲擊軟件浮現(xiàn)。方正防火墻內(nèi)嵌IDS功能模塊可以動(dòng)態(tài)升級(jí),保障IDS數(shù)據(jù)庫(kù)和最新動(dòng)態(tài)同步。雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)期運(yùn)營(yíng)是最后目的,而網(wǎng)絡(luò)硬件也許由于某些特殊因素發(fā)生故障。方正方御防火墻提供雙機(jī)備份功能,采用兩種方式進(jìn)行備份檢測(cè),軟件方式借用HSRP技術(shù)動(dòng)態(tài)跟蹤各個(gè)區(qū)域運(yùn)營(yíng)狀態(tài),發(fā)現(xiàn)任何一種區(qū)域浮現(xiàn)問(wèn)題即刻進(jìn)行切換。硬件方式采專心跳線方式,當(dāng)系統(tǒng)檢測(cè)到故障,也將進(jìn)行切換。而系統(tǒng)切換不影響業(yè)務(wù)。兩臺(tái)防火墻工作在互備模式中。防火墻方案特點(diǎn)本次防火墻重要設(shè)立在連接節(jié)點(diǎn)上。本方案中,咱們重要依照寧波政府專網(wǎng)絡(luò)實(shí)際狀況,針對(duì)防火墻特殊性,從如下幾種方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),對(duì)內(nèi)外網(wǎng)絡(luò)通信進(jìn)行嚴(yán)格管理和監(jiān)控,防火墻必要提供全面安全方略保證內(nèi)部系統(tǒng)安全。因而方正方御防火墻提供全面訪問(wèn)控制方略、IPMAC地址捆綁、IDS入侵檢測(cè)、反電子欺騙等手段。這些功能可以有效保障內(nèi)部網(wǎng)絡(luò)安全。同步方正方御防火墻也提供帶寬管理、分派,系統(tǒng)報(bào)警等辦法從側(cè)面協(xié)助。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中一種部件,其自身安全性也是十分重要,考慮到實(shí)際狀況,方正方御防火墻提供單獨(dú)管理接口,管理接口服務(wù)所有關(guān)閉,同步管理接口特殊管理數(shù)據(jù)采用原則加密算法和辦法。這樣在遠(yuǎn)程管理過(guò)程中數(shù)據(jù)通過(guò)專網(wǎng)進(jìn)行管理可以有效保證管理安全性。同步,運(yùn)用WindowsNT中域技術(shù),對(duì)防火墻管理時(shí)必要登錄到相應(yīng)域才干對(duì)域內(nèi)顧客進(jìn)行管理,保障管理域安全性。而防火墻操作系統(tǒng)采用通過(guò)嚴(yán)格測(cè)試專有操作系統(tǒng)。維護(hù)以便性管理以便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用,方正方御防火墻提供專有GUI平臺(tái),以便制定各種安全方略。系統(tǒng)事件管理系統(tǒng)事件和日記記錄直接關(guān)系到整個(gè)安全平臺(tái)完善和后續(xù)責(zé)任追查等各種方面,方正方御防火墻為顧客提供完整、精確數(shù)據(jù)記錄成果,供查詢、打印等。防火墻整體布局咱們建議使用防御防火墻網(wǎng)橋模式,3個(gè)端口構(gòu)成一種以太網(wǎng)互換機(jī),防火墻自身沒(méi)有IP地址,在IP層透明??梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一種互通物理網(wǎng)絡(luò)。當(dāng)防火墻工作在互換模式時(shí),內(nèi)網(wǎng)、DMZ區(qū)和路由器內(nèi)部端口構(gòu)成一種統(tǒng)一互換式物理子網(wǎng),內(nèi)網(wǎng)和DMZ區(qū)還可以有自己第二級(jí)路由器,這種模式不需要變化原有網(wǎng)絡(luò)拓?fù)錁?gòu)造和各主機(jī)和設(shè)備網(wǎng)絡(luò)設(shè)立。如下圖所示:寧波市政府系記錄算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò)寧波市政府系記錄算機(jī)專網(wǎng)核心節(jié)點(diǎn)管理除了需要提供信息服務(wù)外,還需要對(duì)各區(qū)及委、辦、局網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理,因而網(wǎng)絡(luò)安全性和可靠性特別重要。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文獻(xiàn)服務(wù)器、認(rèn)證服務(wù)器、系統(tǒng)管理服務(wù)器等設(shè)備,公開(kāi)信息區(qū)放置對(duì)外信息發(fā)布系統(tǒng),涉及WEB服務(wù)器、Mail服務(wù)器等設(shè)備等。出于穩(wěn)定性考慮,防火墻使用雙機(jī)熱備方式,以保證網(wǎng)絡(luò)不間斷性。寧波市政府系記錄算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò)圖如下:各區(qū)及委、辦、局安全網(wǎng)絡(luò)各區(qū)及委、辦、局網(wǎng)絡(luò)構(gòu)造節(jié)點(diǎn)也同樣劃分為內(nèi)部操作(控制)區(qū)、公開(kāi)信息區(qū)兩個(gè)網(wǎng)段。對(duì)于這些網(wǎng)絡(luò)咱們建議使用如下方案:集中管理和分級(jí)管理由于寧波市政府系記錄算機(jī)專網(wǎng)涉及網(wǎng)絡(luò)安全設(shè)備繁多,因而在管理上面需要既能集中管理,又可以在本地進(jìn)行審計(jì)管理,日記查詢等操作。而顧客權(quán)限機(jī)制分派必要通過(guò)網(wǎng)絡(luò)管理中心統(tǒng)一分派和管理。需要集中管理網(wǎng)絡(luò)設(shè)備涉及防火墻設(shè)備和VPN設(shè)備。在寧波市政府系記錄算機(jī)專網(wǎng)網(wǎng)絡(luò)管理中心需要對(duì)各委、辦、局網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析寧波市政府系記錄算機(jī)專網(wǎng)特點(diǎn)和需求,方正方御防火墻集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。方正方御防火墻采用基于WindowsGUI顧客界面進(jìn)行遠(yuǎn)程集中式管理,配備管理界面直觀,易于操作??梢酝ㄟ^(guò)一種控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式管理。方正方御防火墻采用了三級(jí)權(quán)限機(jī)制,分為管理員,方略員和審計(jì)員。管理員負(fù)責(zé)防火墻開(kāi)關(guān)及尋常維護(hù),方略員負(fù)責(zé)配備防火墻包過(guò)濾和入侵檢測(cè)規(guī)則,審計(jì)員負(fù)責(zé)日記管理和審計(jì)中授權(quán)機(jī)制。這樣她們共同負(fù)責(zé)起一種安全管理平臺(tái)。
產(chǎn)品選型防火墻與入侵檢測(cè)選型咱們采用方正最新型方正方御防火墻。方正方御防火墻是一種很先進(jìn)防火墻,同步它集成強(qiáng)大入侵檢測(cè)功能。方正方御防火墻是國(guó)內(nèi)第一種通過(guò)公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證原則包過(guò)濾級(jí)防火墻產(chǎn)品,同步通過(guò)了中華人民共和國(guó)人民解放軍安全測(cè)評(píng)認(rèn)證中心、國(guó)家保密局和中華人民共和國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心嚴(yán)格認(rèn)證。方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略實(shí)行者,方正數(shù)碼將自身定位于電子商務(wù)“賦能者”,其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場(chǎng)營(yíng)銷(xiāo)服務(wù)、空間信息應(yīng)用、無(wú)線互聯(lián)以及電子商務(wù)征詢服務(wù)等方向,以協(xié)助政府、行業(yè)、公司、網(wǎng)站、電子商務(wù)運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功發(fā)展為己任。要給電子商務(wù)運(yùn)營(yíng)者賦能,先要給安全賦能。方正數(shù)碼一方面推出就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在通過(guò)一年多大量投入和進(jìn)一步研究后,提出一套基于中華人民共和國(guó)國(guó)情、所有自主開(kāi)發(fā)、具備領(lǐng)先優(yōu)勢(shì)解決方案。它是一套整體集群平臺(tái),可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理問(wèn)題。當(dāng)前這套方案已經(jīng)得到國(guó)家關(guān)于部門(mén)大力支持,被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新籌劃項(xiàng)目之一。此外,還得到了國(guó)家”863”籌劃支持。在立身自主開(kāi)發(fā)外,方正數(shù)碼還與眾多國(guó)際知名安全公司保持著良好合伙關(guān)系,并集成了國(guó)內(nèi)外最先進(jìn)公司安全產(chǎn)品,為國(guó)內(nèi)Internet安全建設(shè)保駕護(hù)航。方正方御防火墻(100M)產(chǎn)品概述方御防火墻是方正方御中重要安全產(chǎn)品之一。由于防火墻技術(shù)針對(duì)性很強(qiáng),它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全重要保障之一。方御防火墻是通過(guò)對(duì)國(guó)外防火墻產(chǎn)品綜合分析,針對(duì)咱們國(guó)家詳細(xì)應(yīng)用環(huán)境,結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里最新發(fā)展,在面向IDC和中小公司防火墻基本上,提出一種具備強(qiáng)大信息分析功能、高效包過(guò)濾功能、各種反電子欺騙手段、各種安全辦法綜合運(yùn)用安全可靠專用防火墻系統(tǒng)。方正方御防火墻不但僅是一種包過(guò)濾防火墻,并且涉及了大量實(shí)用模塊,可覺(jué)得顧客提供多方面服務(wù)。方御防火墻保護(hù)如下模塊:系統(tǒng)特點(diǎn)一體化硬件設(shè)計(jì)方正方御防火墻采用了一體化硬件設(shè)計(jì),采用了自己操作系統(tǒng),無(wú)需其她操作系統(tǒng)支持,這樣可以發(fā)揮硬件最大性能,同步也提高了系統(tǒng)安全性。雙機(jī)熱備份通過(guò)雙機(jī)熱備份,本系統(tǒng)提供可靠容錯(cuò)/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器設(shè)立鏡像,當(dāng)主防火墻由于某些因素不能正常運(yùn)作,備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運(yùn)作,充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作穩(wěn)定性。完善訪問(wèn)控制方正方御防火墻符合國(guó)家最新防火墻安全原則,采用了三級(jí)權(quán)限機(jī)制,分為管理員,方略員和審計(jì)員。管理員負(fù)責(zé)防火墻開(kāi)關(guān)及尋常維護(hù),方略員負(fù)責(zé)配備防火墻包過(guò)濾和入侵檢測(cè)規(guī)則,審計(jì)員負(fù)責(zé)日記管理和審計(jì)中授權(quán)機(jī)制。這樣她們共同地負(fù)責(zé)起一種安全管理平臺(tái)。各種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下,這樣可以以便顧客使用。使用在網(wǎng)橋模式時(shí)在IP層透明,使用路由模式時(shí)可以作為三個(gè)區(qū)之間路由器,同步提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換。防御DOS,DDOS襲擊普通防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過(guò)SYN包數(shù)量來(lái)抵抗DDOS襲擊,但是普通網(wǎng)絡(luò)襲擊者都會(huì)隨機(jī)偽造網(wǎng)絡(luò)地址,因而這種辦法防范效果非常差,不能從主線上抵抗DDOS襲擊。方正方御防火墻修改了TCP/IP堆棧算法,使得新syn連接包可以正常通過(guò),避免了由于大量襲擊SYN包導(dǎo)致網(wǎng)絡(luò)阻塞。狀態(tài)檢測(cè)方正方御防火墻可以依照數(shù)據(jù)包地址、合同和端口進(jìn)行訪問(wèn)控制,同步還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。老式防火墻包過(guò)濾只是依照規(guī)則表進(jìn)行匹配,而方正方御防火墻對(duì)每個(gè)連接,作為一種數(shù)據(jù)流,通過(guò)規(guī)則表與連接表共同配合來(lái)對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)顧客可以設(shè)立代理服務(wù)器端口來(lái)啟動(dòng)代理服務(wù)器功能,并且通過(guò)設(shè)立使用代理服務(wù)器顧客帳號(hào)密碼和訪問(wèn)控制來(lái)維護(hù)安全性。代理服務(wù)訪問(wèn)控制非常完善,可以對(duì)時(shí)間、合同、辦法、地址、DNS域、目端口和URL來(lái)進(jìn)行控制。顧客完全可以通過(guò)設(shè)立一定條件來(lái)符合自己規(guī)定。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向NAT。當(dāng)顧客需要從內(nèi)部IP訪問(wèn)Internet時(shí),NAT系統(tǒng)會(huì)從IP池里取出一種合法InternetIP,為該顧客建立映射。如果需要在Intranet提供讓外部訪問(wèn)服務(wù)(如WWW、FTP等),NAT系統(tǒng)可覺(jué)得Intranet里服務(wù)器建立靜態(tài)映射,外部顧客可以直接訪問(wèn)該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為公司顧客連接到Internet提供了良好網(wǎng)絡(luò)地址隱蔽,并且能減少I(mǎi)P占用,替顧客節(jié)約費(fèi)用。提供DMZ區(qū)除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面,系統(tǒng)還可以再增長(zhǎng)一種網(wǎng)絡(luò)界面,讓管理員靈活應(yīng)用。如建立DMZ(軍事獨(dú)立區(qū)),在其中放置公共應(yīng)用服務(wù)器。帶寬管理和流量記錄方正方御防火墻系統(tǒng)使用流量記錄與控制方略,可以便依照網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行記錄與控制管理。顧客可以通過(guò)設(shè)立源地址到目地址單位在時(shí)間內(nèi)容許通過(guò)流量以及合同和端口來(lái)進(jìn)行帶寬控制。日記審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大一種某些,當(dāng)前國(guó)內(nèi)防火墻審計(jì)功能都非常不完善,方正方御防火墻提供了大量審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容查詢功能,由于日記也許對(duì)普通顧客比較難以理解,而咱們將日記記錄提成了若干某些,而其中每一某些都可以進(jìn)行查詢和管理,這樣顧客就能對(duì)防火墻狀況有一種非常透徹理解。入侵檢測(cè)方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展檢測(cè)庫(kù)辦法,當(dāng)前可以抵抗1000各種襲擊辦法,并且可以通過(guò)升級(jí)檢測(cè)庫(kù)辦法來(lái)不斷抵抗新襲擊辦法。顧客還可以自定義襲擊檢測(cè)庫(kù)來(lái)符合自己規(guī)定。自動(dòng)報(bào)警和防范系統(tǒng)方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行襲擊,會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警,并且同步會(huì)自動(dòng)封禁掉襲擊者IP地址,這樣可以做到防火墻防范完全自動(dòng)化,而不象普通防火墻那樣需要人工干預(yù)?;赑KI授權(quán)認(rèn)證方正方御防火墻授權(quán)認(rèn)證是基于PKI基本之上,因而完全性極高。PKI是一種新安全技術(shù),它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開(kāi)密鑰安全方略等基本成分共同構(gòu)成。迅速安裝配備方正方御防火墻安裝和配備非常以便,管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備IP地址,然后使用系統(tǒng)提供某些典型配備模板,恰當(dāng)修改某些規(guī)則來(lái)符合規(guī)定。除此以外還可以添加系統(tǒng)提供某些子模板來(lái)實(shí)現(xiàn)某些特定功能。圖形管理界面顧客可以通過(guò)圖形界面對(duì)防火墻進(jìn)行配備和管理。并且也可以通過(guò)圖形界面來(lái)管理審計(jì)內(nèi)容,而不象有些防火墻是通過(guò)命令行方式進(jìn)行配備。完全中華人民共和國(guó)化設(shè)計(jì)方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作,充分考慮了中華人民共和國(guó)國(guó)情,除了界面、協(xié)助文檔、使用闡明完全中文化外,還加入了某些小型模板顧客給管理員配備防火墻。集中管理方正方御防火墻采用基于WindowsGUI顧客界面進(jìn)行遠(yuǎn)程集中式管理,配備管理界面直觀,易于操作??梢酝ㄟ^(guò)一種控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式管理。方御防火墻(百兆)性能項(xiàng)目指標(biāo)最大并發(fā)連接數(shù)>=200,000內(nèi)核解決速度>=750M100M端口吞吐量>97M百條規(guī)則下平均吞吐量(fps)>94M延時(shí)10ms丟包率(百條規(guī)則)0%MTBF>=30000小時(shí)最大規(guī)則數(shù)>=1400條方正方御防火墻功能闡明各種工作模式方正方御網(wǎng)絡(luò)安全產(chǎn)品可以工作在互換和路由兩種模式下:A:互換模式:3個(gè)端口構(gòu)成一種以太網(wǎng)互換機(jī),產(chǎn)品自身沒(méi)有IP地址,在IP層透明??梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一種互通物理網(wǎng)絡(luò)。當(dāng)產(chǎn)品工作在互換模式時(shí),內(nèi)網(wǎng)、DMZ區(qū)和路由器內(nèi)部端口構(gòu)成一種統(tǒng)一互換式物理子網(wǎng),內(nèi)網(wǎng)和DMZ區(qū)還可以有自己第二級(jí)路由器,這種模式不需要變化原有網(wǎng)絡(luò)拓?fù)錁?gòu)造和各主機(jī)和設(shè)備網(wǎng)絡(luò)設(shè)立。B:路由模式:產(chǎn)品自身構(gòu)成3個(gè)網(wǎng)絡(luò)間路由器,3個(gè)界面分別具備不同IP地址。三個(gè)網(wǎng)絡(luò)中主機(jī)通過(guò)該路由進(jìn)行通信。當(dāng)產(chǎn)品工作在路由模式時(shí),可以作為三個(gè)區(qū)之間路由器,同步提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換,也就是說(shuō),內(nèi)網(wǎng)和DMZ都可以使用保存地址,內(nèi)網(wǎng)顧客通過(guò)地址轉(zhuǎn)換訪問(wèn)Internet,同步隔絕Internet對(duì)內(nèi)網(wǎng)訪問(wèn),DMZ區(qū)通過(guò)反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。在沒(méi)有安裝方御網(wǎng)絡(luò)安全產(chǎn)品時(shí)候典型網(wǎng)絡(luò)構(gòu)造圖如下:在安裝了方御網(wǎng)絡(luò)安全產(chǎn)品時(shí)候網(wǎng)絡(luò)構(gòu)造圖如下:包過(guò)濾防火墻方御防火墻重要功能是對(duì)指定IP包進(jìn)行包過(guò)濾,并且按照設(shè)定方略對(duì)IP包進(jìn)行入侵或流量等活動(dòng)記錄,并記入日記中,供顧客察看。重要依照IP包如下信息進(jìn)行過(guò)濾:IP包源IP地址IP包目IP地址IP包合同類型(涉及IP、ICMP、TCP、UDP等合同)IP包源TCP/UDP端口IP包目TCP/UDP端口ICMP報(bào)文類型域和代碼域碎片包IP包其他標(biāo)志位,如SYN,ACK位等高效包過(guò)濾有些防火墻在安裝上后來(lái)對(duì)WEB服務(wù)器吞吐能力影響很大,導(dǎo)致性能減少。由于方御防火墻采用了3I智能IP辨認(rèn)技術(shù)(IntelligentIPIdentifying),可以實(shí)現(xiàn)迅速匹配。因而方御防火墻不會(huì)對(duì)性能導(dǎo)致任何影響。方御防火墻優(yōu)化了算法,使最大并發(fā)連接數(shù)可以達(dá)到250,000個(gè)以上,而普通防火墻最大并發(fā)連接只能達(dá)到幾萬(wàn)個(gè)左右。強(qiáng)大狀態(tài)檢測(cè)功能方御防火墻可以依照數(shù)據(jù)包地址、合同和端口進(jìn)行訪問(wèn)控制,同步還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。老式防火墻包過(guò)濾只是與規(guī)則表進(jìn)行匹配,而方御防火墻對(duì)每個(gè)連接,作為一種數(shù)據(jù)流,通過(guò)規(guī)則表與連接表共同配合,在繼承了老式包過(guò)濾系統(tǒng)相應(yīng)用透明特性外,還大大提高了系統(tǒng)性能和安全性。其她防火墻大多采用老式規(guī)則表匹配辦法,隨著安全規(guī)則增長(zhǎng),勢(shì)必會(huì)使防火墻性能大幅度減少,導(dǎo)致網(wǎng)絡(luò)擁塞。狀態(tài)檢測(cè)詳細(xì)過(guò)程如下:防火墻其他功能雙向NAT方御防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保存IP地址,通過(guò)動(dòng)態(tài)地址轉(zhuǎn)換功能實(shí)現(xiàn)對(duì)外部網(wǎng)訪問(wèn)。方御防火墻以兩種方式支持NAT:√源地址轉(zhuǎn)換(正向NAT),即內(nèi)部地址向外訪問(wèn)時(shí),發(fā)起訪問(wèn)內(nèi)部IP地址轉(zhuǎn)換為指定IP地址(可含端標(biāo)語(yǔ)或者端口范疇),這可以使內(nèi)部使用保存IP地址主機(jī)訪問(wèn)外部網(wǎng)絡(luò),即內(nèi)部各種機(jī)器可以通過(guò)一種外部有效地址訪問(wèn)外部網(wǎng)絡(luò)。例如,內(nèi)部地址對(duì)外部訪問(wèn)可以被修改為一種合法互聯(lián)網(wǎng)地址00,并且可以限定其端口范疇為80~82。√目地址轉(zhuǎn)換(反向NAT),即外部地址向內(nèi)訪問(wèn)時(shí),被訪問(wèn)IP地址(可含端標(biāo)語(yǔ)或者端口范疇)被轉(zhuǎn)換為指定內(nèi)部IP地址(可含端標(biāo)語(yǔ)或者端口范疇),可以支持針對(duì)外部地址服務(wù)端口到內(nèi)部地址一對(duì)一映射,內(nèi)部多臺(tái)機(jī)器服務(wù)端口可以分別映射到外部地址若干個(gè)端口,通過(guò)這些端口對(duì)外部提供服務(wù)。例如。如果外部計(jì)算機(jī)要訪問(wèn)地址為00主機(jī)時(shí),她事實(shí)上訪問(wèn)會(huì)是一臺(tái)IP地址為主機(jī),外部計(jì)算機(jī)可以任意訪問(wèn)00主機(jī)上面所有端口,這些訪問(wèn)都會(huì)轉(zhuǎn)到相似端口上,這樣就突破了以往防火墻做反向NAT時(shí)都必要和服務(wù)端口綁定限制(即00:80:80),固然,如果顧客需要,也可以和以往防火墻同樣,做端口綁定。帶寬管理和流量記錄方御防火墻系統(tǒng)使用流量記錄與控制方略,可以便地依照網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行記錄與控制管理,以防止線路資源非允許消耗,有效地管理帶寬資源,從而使網(wǎng)絡(luò)得到有效運(yùn)用。方御通過(guò)設(shè)立每小時(shí)容許通過(guò)網(wǎng)絡(luò)流量和最大突發(fā)流量來(lái)實(shí)現(xiàn)帶寬管理和流量記錄功能。代理服務(wù)器功能對(duì)于瀏覽器顧客來(lái)說(shuō),方御是一種高性能代理緩存服務(wù)器,方御支持FTP、HTTP合同。和普通代理緩存軟件不同,方御用一種單獨(dú)、非模塊化、I/O驅(qū)動(dòng)進(jìn)程來(lái)解決所有客戶端祈求。方御將數(shù)據(jù)元緩存在內(nèi)存中,同步也緩存DNS查詢成果,除此之外,它還支持非模塊化DNS查詢,對(duì)失敗祈求進(jìn)行悲觀緩存。方御支持SSL,支持訪問(wèn)控制。由于使用了ICP(輕量Internet緩存合同),方御可以實(shí)現(xiàn)層疊代理陣列,從而最大限度地節(jié)約帶寬。顧客可以在客戶管理中,通過(guò)設(shè)立客戶權(quán)限,為顧客提供代理服務(wù)模式,在訪問(wèn)規(guī)則中設(shè)立“禁止顧客訪問(wèn)站點(diǎn)”和“僅容許訪問(wèn)站點(diǎn)”,同步還可以建立URL級(jí)訪問(wèn)限制,通過(guò)建立禁止顧客訪問(wèn)URL列表,方御防火墻可以對(duì)該列表進(jìn)行匹配,禁止對(duì)列表中URL訪問(wèn)。違背限制規(guī)則訪問(wèn)企圖將被記錄到系統(tǒng)日記中。方御防火墻提供URL級(jí)屏蔽功能,可以使管理員屏蔽某些URL,如色情、反動(dòng)主頁(yè)等。此外通過(guò)對(duì)內(nèi)部網(wǎng)WWW服務(wù)器某些URL屏蔽,可以消除服務(wù)器自身安全漏洞,從而對(duì)WWW服務(wù)器進(jìn)行保護(hù)。IP地址和MAC地址綁定計(jì)算機(jī)中每一塊網(wǎng)卡都具備一種唯一硬件物理地址標(biāo)記號(hào)碼,即網(wǎng)卡MAC地址,MAC地址與網(wǎng)卡一一相應(yīng)。為解決IP地址欺騙和盜用問(wèn)題,系統(tǒng)提供了IP地址和MAC地址(網(wǎng)卡)一一綁定功能,重要用于綁定某些重要管理員IP地址和特權(quán)IP地址。IP地址和MAC地址綁定后,雖然某個(gè)顧客盜用了此網(wǎng)卡IP地址,在通過(guò)防火墻時(shí)也會(huì)因網(wǎng)卡MAC地址不匹配而回絕通過(guò)。雙機(jī)熱備方御在橋模式下可以在網(wǎng)絡(luò)中智能尋找其對(duì)等備份機(jī),并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài),而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效,可及時(shí)啟動(dòng),防止網(wǎng)絡(luò)中斷事故發(fā)生。在路由模式下,方御提供手工設(shè)立雙機(jī)熱備功能。當(dāng)前,可以支持兩臺(tái)方御在網(wǎng)絡(luò)上進(jìn)行主從備份,或者互為備份。復(fù)雜別名機(jī)制復(fù)雜別名機(jī)制是方御防火墻一類以便實(shí)用,也很重要功能,方御防火墻使用端口別名和子網(wǎng)別名來(lái)代替有關(guān)端標(biāo)語(yǔ)和子網(wǎng)地址,協(xié)助顧客管理各種網(wǎng)段和各種端口地址。顧客可以在混合模式里用一種別名來(lái)管理一組離散網(wǎng)段地址,或者是離散端口值。在大某些其她功能模塊里都要使用這些別名來(lái)進(jìn)行配備。授權(quán)級(jí)別遵循國(guó)家關(guān)于安全原則規(guī)定,方御作了四級(jí)授權(quán):實(shí)行域管理權(quán)、方略管理權(quán)、審計(jì)管理權(quán)、日記查看權(quán)。實(shí)行域管理權(quán)涉及:向?qū)嵭杏蛑性鰟h管理員帳號(hào),增刪防火墻設(shè)備,設(shè)立雙機(jī)熱備,切換防火墻橋/路由模式,為管理員授方略管理權(quán)和審計(jì)管理權(quán);方略管理權(quán)涉及:配備防火墻各個(gè)模塊方略,如包過(guò)濾方略,入侵檢測(cè)方略,NAT方略,流量控制方略,顧客認(rèn)證管理、Proxy方略等等;審計(jì)管理權(quán)涉及:設(shè)立日記滿時(shí)系統(tǒng)方略,為管理員授日記查看權(quán),清空日記等;日記查看權(quán)涉及:查詢?nèi)沼?,生成記錄?bào)表等。擁有實(shí)行域管理權(quán)僅有Admin帳號(hào);且Admin也僅有實(shí)行域管理權(quán),而沒(méi)有方略管理權(quán)及審計(jì)管理權(quán)。其她管理員(指除了Admin以外管理員)方略管理權(quán)和審計(jì)管理權(quán)由Admin授予,日記查看權(quán)由擁有審計(jì)管理權(quán)管理員授予??啥ㄖ品阑饓δ0宸接阑饓︻A(yù)置模板功能是將針對(duì)典型應(yīng)用幾條防火墻規(guī)則整合成為模板,運(yùn)用填空方式配備,簡(jiǎn)化了顧客配備工作。強(qiáng)大審計(jì)功能方御防火墻提供了大量審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容查詢功能,由于日記也許對(duì)普通顧客比較難以理解,而咱們將日記記錄提成了若干某些,并且就每一種某些都是可以進(jìn)行查詢和管理,這樣一來(lái)就可以是顧客對(duì)防火墻狀況有一種非常透徹理解。方御防火墻中審計(jì)功能有著非常完善權(quán)限管理,有專門(mén)審計(jì)員來(lái)對(duì)審計(jì)內(nèi)容進(jìn)行管理,在審計(jì)中又提成了若干級(jí)別權(quán)限。這樣可以以便管理員管理審計(jì)內(nèi)容。基于PKI高檔授權(quán)認(rèn)證PKI是一種新安全技術(shù),它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開(kāi)密鑰安全方略等基本成分共同構(gòu)成。PKI是運(yùn)用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全一種體系,是一種基本設(shè)施,網(wǎng)絡(luò)通訊、網(wǎng)上交易是運(yùn)用它來(lái)保證安全。從某種意義上講,PKI包括了安全認(rèn)證系統(tǒng),即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺構(gòu)成某些。方御防火墻授權(quán)認(rèn)證是基于PKI基本之上,因而完全性極高。集中管理依照美國(guó)財(cái)經(jīng)雜志記錄資料表白,30%入侵發(fā)生在有防火墻狀況下,這些入侵重要因素并非是防火墻無(wú)用,而是由于普通防火墻管理及配備相稱復(fù)雜,要想成功維護(hù)防火墻,規(guī)定防火墻管理員對(duì)網(wǎng)絡(luò)安全襲擊手段及其與系統(tǒng)配備關(guān)系有相稱深刻理解,并且防火墻安全方略無(wú)法進(jìn)行集中管理,這些都導(dǎo)致了網(wǎng)絡(luò)安全失敗。而方御防火墻采用基于WindowsGUI顧客界面進(jìn)行遠(yuǎn)程集中式管理,配備管理界面直觀,易于操作??梢酝ㄟ^(guò)一種控制機(jī)對(duì)多臺(tái)方御進(jìn)行集中式管理。實(shí)時(shí)控制和日記轉(zhuǎn)存管理員可以通過(guò)控制界面對(duì)防火墻進(jìn)行實(shí)時(shí)控制和調(diào)節(jié),可以修改其方略和工作方式。管理員可以將日記保存起來(lái),供后來(lái)分析使用,由于方御防火墻每天都會(huì)記錄大量日記信息,并且某些日記記錄是非常有用信息,因而方御日記監(jiān)視系統(tǒng)會(huì)將服務(wù)器上面日記下載到管理員機(jī)器上面,管理員可以對(duì)它進(jìn)行編輯和保存。路由選取合同控制 橋接模式下,防火墻內(nèi)部口三層互換機(jī)和外部路由器進(jìn)行路由信息互換,互換機(jī)和路由器之間運(yùn)營(yíng)了RIP,EIGRP,IGRP,OSPF等IGP路由合同,防火墻必要辨認(rèn)這些合同,讓它們通過(guò)防火墻,否則,內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)將無(wú)法路由。這些合同特點(diǎn)是目地址為多播地址,對(duì)此防火墻需要辨認(rèn)并對(duì)的解決,在橋模式下可以靈活地控制這些包通過(guò)或不通過(guò)。支持SNMP管理方御網(wǎng)絡(luò)安全產(chǎn)品提供對(duì)簡(jiǎn)樸網(wǎng)絡(luò)管理合同(SNMP)支持,支持V1、V2等不同版本,可與當(dāng)前主流網(wǎng)絡(luò)管理平臺(tái)如HPOpenview、CAUnicenter、CiscoWorks等聯(lián)用,通過(guò)專業(yè)網(wǎng)管軟件兼控方御產(chǎn)品運(yùn)營(yíng)狀況。此外通過(guò)SNMP管理,方御防火墻還可以對(duì)襲擊事件進(jìn)行收集,轉(zhuǎn)發(fā)給SNMP服務(wù)器,顧客可以通過(guò)對(duì)SNMP管理,發(fā)現(xiàn)產(chǎn)品問(wèn)題。H.323支持隨著語(yǔ)音/影像數(shù)據(jù)流行,網(wǎng)絡(luò)上流動(dòng)大量H.323數(shù)據(jù)。H.323數(shù)據(jù)流特點(diǎn)是同一種數(shù)據(jù)流在不同步間使用不同UDP端口,而這種端口變化普通是靠分析數(shù)據(jù)流內(nèi)容得到,方御防火墻采用特殊技術(shù)對(duì)實(shí)際數(shù)據(jù)流狀況作出判斷,以鑒別數(shù)據(jù)合法性,在保證網(wǎng)絡(luò)安全前提下支持H.323數(shù)據(jù)合法通過(guò)。入侵檢測(cè)系統(tǒng)反端口掃描普通黑客如果要對(duì)一種網(wǎng)站發(fā)動(dòng)襲擊,一方面都要掃描目的服務(wù)器端口,擬定服務(wù)器上啟動(dòng)服務(wù),然后選取相應(yīng)入侵方式。方御入侵檢測(cè)系統(tǒng)可以在黑客掃描網(wǎng)站時(shí)候就能檢測(cè)到并報(bào)警,這樣在就能提前將黑客拒之于門(mén)外。方御入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口時(shí)候會(huì)及時(shí)在襲擊者視野中消失,從而使黑客無(wú)法進(jìn)行背面襲擊。方御入侵檢測(cè)系統(tǒng)依照配備文獻(xiàn)監(jiān)控任何和TCP,UDP端口連接??梢詫?duì)所有端口同步進(jìn)行監(jiān)控,同步也可以忽視指定端口。這樣就能滿足不同需求方式??梢苑婪?500余種襲擊方式檢測(cè)各種DoS襲擊DoS(回絕服務(wù)襲擊)涉及諸多不同方式。在這些方式中,三種最流行方式為使服務(wù)失效、獨(dú)占或盜用資源以及刪除數(shù)據(jù)。最常用就是服務(wù)失效方式,通過(guò)DoS襲擊可以使一種服務(wù)器停止服務(wù),從而導(dǎo)致巨大損失。方御入侵檢測(cè)系統(tǒng)可以檢測(cè)涉及IGMP襲擊,TearDrop,LAND,WinNuke等各種DoS襲擊。從而使被托管服務(wù)器處在安全保護(hù)之中。和其他同樣,方御入侵檢測(cè)系統(tǒng)一旦發(fā)既有DoS襲擊,及時(shí)在線報(bào)警,記錄日記。檢測(cè)各種DDoS襲擊Yahoo、CNN等知名網(wǎng)站被黑客襲擊使得防黑客成了人們關(guān)注熱點(diǎn)。DDoS(分布式回絕服務(wù))是本次襲擊重要手段。DDoS襲擊原理是入侵者控制了某些節(jié)點(diǎn),將它們?cè)O(shè)計(jì)成控制點(diǎn),這些控制點(diǎn)控制了Internet大量主機(jī),將它們?cè)O(shè)計(jì)成襲擊點(diǎn),襲擊點(diǎn)中裝載了襲擊程序,正是由這些襲擊點(diǎn)計(jì)算機(jī)對(duì)襲擊目的發(fā)動(dòng)襲擊。這種構(gòu)造使入侵者遠(yuǎn)離襲擊目的,隱藏了入侵者詳細(xì)位置。方御入侵檢測(cè)系統(tǒng)可以檢測(cè)涉及TFN,Trin00,shaftsynflood等各種DDoS工具襲擊。而這些襲擊都是進(jìn)行DDoS襲擊重要工具。檢測(cè)保護(hù)子網(wǎng)中與否存在后門(mén)和木馬程序后門(mén)和木馬程序如果存在于網(wǎng)絡(luò)中,會(huì)導(dǎo)致嚴(yán)重后果,有些后門(mén)程序?qū)е鹿芾韱T密碼被盜取,因而檢測(cè)保護(hù)子網(wǎng)中與否存在后門(mén)和木馬程序成為入侵檢測(cè)一種重要構(gòu)成某些。方御入侵檢測(cè)系統(tǒng)可以檢測(cè)網(wǎng)絡(luò)中與否存在流行BO,BO,NetSphere,DeepThroat,WinCrash,BackConstruction等各種后門(mén)或木馬程序。檢測(cè)各種針對(duì)Finger服務(wù)襲擊Finger服務(wù)于查詢顧客信息,涉及網(wǎng)上成員真實(shí)姓名、顧客名、近來(lái)登錄時(shí)間、地點(diǎn)等,也可以用來(lái)顯示當(dāng)前登錄在機(jī)器上所有顧客名,這對(duì)于入侵者來(lái)說(shuō)是無(wú)價(jià)之寶,由于它能告訴她在本機(jī)上有效登錄名。方御入侵檢測(cè)系統(tǒng)可以檢測(cè)針對(duì)Finger服務(wù)襲擊如FingerBomb,F(xiàn)ingersearch,F(xiàn)INGER-ProbeNull等掃描和襲擊。檢測(cè)各種針對(duì)FTP服務(wù)襲擊方御入侵檢測(cè)系統(tǒng)可以檢測(cè)針對(duì)不同F(xiàn)TPserver,涉及AIXFTPD,WuFTP,ProFTPD,Serv-UFTPD,NCFTPD,MsFTPD發(fā)起FTP-site-exec,F(xiàn)TP-user-root,BufferOverflow等各種嘗試和襲擊行為。檢測(cè)基于NetBIOS襲擊方御入侵檢測(cè)系統(tǒng)可以對(duì)基于NetBIOS如NETBIOS-SMB-IPC$access,NETBIOS-SMB-ADMIN$access,NETBIOS-SNMP-NT-UserList等各種嘗試和襲擊行為進(jìn)行檢測(cè)。檢測(cè)緩沖區(qū)溢出類型襲擊方御入侵檢測(cè)系統(tǒng)可以對(duì)OVERFLOW-x86-solaris-nlps,OVERFLOW-x86-windows-MailMax,OVERFLOW-x86-linux-ntalkd,OVERFLOW-DNS-sparc等近百種堆棧溢出襲擊進(jìn)行檢測(cè)。檢測(cè)基于RPC襲擊方御入侵檢測(cè)系統(tǒng)可以對(duì)基于RPC如portmap-request-amountd,portmap-request-bootparam,RPCInfoQuery,portmap-request-ypserv,RPCttdbservSolarisOverflow等各種嘗試和襲擊行為進(jìn)行檢測(cè)。檢測(cè)基于SMTP襲擊方御入侵檢測(cè)系統(tǒng)可以對(duì)針對(duì)各種SMTPserver,涉及Sendmail,ExchangeServer,Qmail等所發(fā)起SMTP-expn-root,SMTPRelayingDenied等試探和襲擊進(jìn)行檢測(cè)。檢測(cè)基于Telnet襲擊方御入侵檢測(cè)系統(tǒng)能針對(duì)基于Telnet涉及AttemptedSUfromwronggroup,setld_preload,setld_library_path,LoginIncorrect等各種嘗試和襲擊。檢測(cè)網(wǎng)絡(luò)上傳播病毒和蠕蟲(chóng)方御入侵檢測(cè)系統(tǒng)能在計(jì)算機(jī)病毒和蠕蟲(chóng)傳播到宿主機(jī)之前檢測(cè)出來(lái),涉及流行Happy99,IloveU,PrettyPark等百種蠕蟲(chóng)和病毒,防患于未然。檢測(cè)CGI襲擊方御入侵檢測(cè)系統(tǒng)能檢測(cè)出涉及針對(duì)PHF,NPH,pfdisplay。cgi等已知上百種有安全隱患CGI進(jìn)行探測(cè)和襲擊方式。檢測(cè)針對(duì)WEBServerFrontPage擴(kuò)展進(jìn)行襲擊檢測(cè)針對(duì)WEBServerColdFusion擴(kuò)展進(jìn)行襲擊檢測(cè)針對(duì)MicroSoftIISserver進(jìn)行襲擊方御入侵檢測(cè)系統(tǒng)能檢測(cè)ViewSourceexploit,IIS-exec-srch,IIS-asp-srch等已知漏洞和弱點(diǎn)襲擊行為。檢測(cè)運(yùn)用ICMP進(jìn)行掃描和襲擊方御入侵檢測(cè)系統(tǒng)能對(duì)運(yùn)用這種方式進(jìn)行網(wǎng)絡(luò)拓?fù)涮綔y(cè)所產(chǎn)生PING-ICMPDestinationUnreachable,PING-ICMPTimeExceeded等ICMP包進(jìn)行檢測(cè)。檢測(cè)運(yùn)用Traceroute對(duì)網(wǎng)絡(luò)探測(cè)檢測(cè)ActiveX,JaveApplet傳播方御入侵檢測(cè)系統(tǒng)能通過(guò)匹配網(wǎng)絡(luò)包內(nèi)容,可以檢測(cè)特定ActiveX,JaveApplet等程序在網(wǎng)絡(luò)上傳播。19檢測(cè)對(duì)其她也許網(wǎng)絡(luò)服務(wù)進(jìn)行襲擊在線升級(jí)和實(shí)時(shí)報(bào)警由于入侵檢測(cè)系統(tǒng)庫(kù)文獻(xiàn)是需要不斷更新,因而方御提供了非常以便升級(jí)接口,可以通過(guò)咱們網(wǎng)站進(jìn)行在線升級(jí),并且咱們提供了非常以便顧客升級(jí)界面,使升級(jí)工作可以非常以便完畢。報(bào)警與否可以及時(shí)是衡量一種入侵檢測(cè)系統(tǒng)重要因素之一,如果在黑客剛剛進(jìn)行襲擊時(shí)候就可以做出響應(yīng),那么管理員會(huì)有足夠時(shí)間進(jìn)行防護(hù)。方御報(bào)警系統(tǒng)和入侵檢測(cè)系統(tǒng)協(xié)調(diào)工作幾乎是一致,一旦入侵檢測(cè)系統(tǒng)檢測(cè)到襲擊,報(bào)警系統(tǒng)會(huì)立即做出反映,通過(guò)Email或手機(jī)告知管理員。同步會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范。入侵檢測(cè)和防火墻互動(dòng)通過(guò)通信行為跟蹤,防火墻可以檢測(cè)到對(duì)網(wǎng)絡(luò)各種掃描,檢測(cè)到對(duì)網(wǎng)絡(luò)襲擊行為,并可以對(duì)襲擊行為進(jìn)行響應(yīng),涉及自動(dòng)防范及顧客自定義安全響應(yīng)方略等。安全評(píng)估系統(tǒng)方御安全評(píng)估系統(tǒng)重要針對(duì)顧客系統(tǒng)內(nèi)部各種安全漏洞實(shí)行漏洞掃描,借以檢查出系統(tǒng)中主機(jī)安全隱患,例如,各種常用服務(wù)端口狀況,各種常用服務(wù)狀況,和弱密碼探測(cè)等,并提供相應(yīng)掃描成果報(bào)告,顧客可打印和記錄有漏洞主機(jī)掃描信息,并查詢漏洞詳細(xì)信息,使顧客全面理解系統(tǒng)安全狀況,提早做好防范辦法。虛擬專用網(wǎng)虛擬專用網(wǎng)技術(shù)(VPN,VirtualPrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò),數(shù)據(jù)通過(guò)安全“加密通道”在公共網(wǎng)絡(luò)中傳播。公司只需要租用本地?cái)?shù)據(jù)專線,連接上本地公眾信息網(wǎng),那么各地機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間連接并沒(méi)有老式專網(wǎng)所需端到端物理鏈路,而是運(yùn)用某種公眾網(wǎng)資源動(dòng)態(tài)構(gòu)成,是通過(guò)私有隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)專線技術(shù)。所謂虛擬,是指顧客不再需要擁有實(shí)際長(zhǎng)途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò),是指顧客可覺(jué)得自己制定一種最符合自己需求網(wǎng)絡(luò)。而在Internet上,VPN使用者可以控制自己與其她使用者聯(lián)系,同步支持撥號(hào)顧客。當(dāng)前VPN重要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。方御虛擬專用網(wǎng)(VPN)中這幾種技術(shù)都使用了,涉及軟件加密和硬件加密,例如:使用IPSEC技術(shù)進(jìn)行隧道通訊,使用3DES技術(shù)等進(jìn)行加解密,使用IKE進(jìn)行密鑰管理,使用X.509進(jìn)行身份認(rèn)證等。方御虛擬專用網(wǎng)支持兩種顧客模式:遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(AccessVPN)和公司內(nèi)部虛擬網(wǎng)(IntranetVPN)。如果公司內(nèi)部人員有移動(dòng)或遠(yuǎn)程辦公需要,或者商家要提供B2C安全訪問(wèn)服務(wù),就可以考慮使用遠(yuǎn)程訪問(wèn)虛擬網(wǎng),方御遠(yuǎn)程訪問(wèn)模式使用IPSEC技術(shù)進(jìn)行隧
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 市場(chǎng)競(jìng)爭(zhēng)力與定位分析
- 2025年烏魯木齊貨運(yùn)從業(yè)資格證考試技巧和方法
- 2025產(chǎn)品代理合同的范本
- 2025桌面廣告的合同范本
- 師德標(biāo)桿示范:校長(zhǎng)個(gè)人承諾書(shū)
- 文化創(chuàng)意掛靠監(jiān)管辦法
- 自動(dòng)化生產(chǎn)線故障排查指南
- 建筑施工隊(duì)長(zhǎng)勞動(dòng)合同
- 2025登封市行政事業(yè)單位公務(wù)車(chē)輛保險(xiǎn)服務(wù)合同
- 制造業(yè)法定代表人招聘合同范本
- 人教版小學(xué)數(shù)學(xué)一年級(jí)(上)口算題1000道
- 供應(yīng)鏈合作干股入股合作協(xié)議書(shū)
- 純彎曲梁正應(yīng)力實(shí)驗(yàn)報(bào)告
- 棕櫚油行業(yè)現(xiàn)狀分析報(bào)告
- 空壓站工藝培訓(xùn)
- 心血管科主任述職報(bào)告
- 《數(shù)據(jù)結(jié)構(gòu)》課程標(biāo)準(zhǔn)2
- 教師的教材選擇與分析
- 日本健康管理產(chǎn)業(yè)發(fā)展趨勢(shì)分析
- 臭氧層的破壞和損耗課件
- 畢業(yè)設(shè)計(jì)拍攝任務(wù)書(shū)
評(píng)論
0/150
提交評(píng)論